A menos de un mes de la fecha límite actualizada para la Directiva de seguridad de la información y las redes (NIS2), las organizaciones de toda la UE se están preparando para que la nueva regulación entre en pleno vigor el 17 de octubre. Sin embargo, la cosa no se detiene ahí. El 17 de enero de 2025, la nueva Ley de Resiliencia Operacional Digital (DORA) también entrará en vigor para las instituciones financieras y proveedores externos de TI del sector.
Organizaciones de toda la UE y de otros lugares que hacen esto un trabajo A medida que las entidades de la región enfrentan una presión cada vez mayor para cumplir con estos requisitos regulatorios. Parece que la convergencia de estos marcos afectará a más de 170.000 organizaciones europeas en total: 150.000 organizaciones afectadas por NIS2 y se estima que más de 22.000 entidades financieras y proveedores de servicios TIC se ven afectados por DORA.
¿Qué son NIS2 y DORA?
NIS2 tiene como objetivo proporcionar una legislación integral a nivel de la UE sobre ciberseguridad. Amplía el alcance de la Directiva NIS e introduce requisitos de seguridad más estrictos para 18 sectores empresariales. De manera similar al Reglamento General de Protección de Datos (GDPR), NIS2 unirá medidas y métodos de ciberseguridad entre organizaciones para ayudar a fortalecer la infraestructura digital de Europa.
DORA es una guía sectorial específica para instituciones financieras, dirigida a su enfoque del riesgo operativo. DORA tiene dos objetivos claros. En primer lugar, reforzar la gestión de riesgos de TI en el sector de servicios financieros. En segundo lugar, armonizar las regulaciones existentes de gestión de riesgos de TI que ya existen en los Estados miembros de la UE.
DORA no deja margen de discreción a nivel de los estados miembros, mientras que NIS2 es una directiva que permite a los estados desarrollar reglas basadas en sus necesidades nacionales específicas.
Estrategias de cumplimiento de NIS2 y DORA
Si bien puede parecer difícil para las empresas que ya están pasando por una situación económica difícil, estos sistemas se están implementando en respuesta al creciente panorama de amenazas, y la implementación de los cambios necesarios brindará nuevas oportunidades para mejorar la resiliencia cibernética y general. Situación de seguridad. Para aprovechar estas oportunidades y adelantarse a las próximas regulaciones, aquí hay nueve estrategias de cumplimiento que las organizaciones deben adoptar:
Evaluación integral de riesgos: Las organizaciones deben realizar una evaluación de riesgos integral que cubra los requisitos tanto de NIS2 como de DORA. Esto debería incluir la identificación de activos críticos, la evaluación de amenazas potenciales y la evaluación del impacto de diferentes escenarios de riesgo. Un enfoque estandarizado para la evaluación de riesgos ayuda a identificar vulnerabilidades comunes y desarrollar una estrategia de mitigación optimizada.
Educación y formación: Debido a los recursos limitados, las organizaciones a menudo se encuentran particularmente vulnerables a las amenazas cibernéticas. Pero incluso cuando los recursos son limitados, las empresas pueden implementar sesiones continuas de capacitación y concientización, así como crear e implementar medidas de seguridad bien definidas. A través de esta capacitación periódica, las organizaciones pueden fomentar una cultura de cumplimiento y conciencia de seguridad.
Adoptar el modelo de responsabilidad compartida: En los últimos años, los ciberdelincuentes han avanzado en sus tácticas, ejerciendo una tremenda presión sobre las empresas para que actúen con rapidez. Una forma de abordar estas preocupaciones es adoptar un modelo de responsabilidad compartida para garantizar que las políticas y prácticas de seguridad se actualicen y se apliquen por igual en todas las organizaciones, sin dejar piedra sin remover. Una estrategia de cumplimiento activo comienza con roles, responsabilidades y objetivos claramente definidos y documentados dentro de la política de la empresa, en línea con las directrices NIS2 y DORA.
Informe integrado de incidentes: Las organizaciones necesitan desarrollar un plan de respuesta a incidentes cohesivo y unificado para cumplir con los requisitos de NIS2 y DORA, ya que ambos exigen mecanismos de notificación de incidentes. Esto incluye optimizar eficazmente los canales de comunicación, comunicaciones transparentes con los consumidores y garantizar la presentación oportuna de informes a las autoridades pertinentes.
Haga de la ciberseguridad un valor fundamental: Los líderes de seguridad deben trabajar duro para desmitificar la ciberseguridad y demostrar cómo unos pocos cambios de comportamiento pueden proteger a toda la organización de acuerdo con NIS2 y DORA. Es responsabilidad de los equipos de liderazgo senior integrar la seguridad y la privacidad en todas las iniciativas de datos desde el principio.
Gobernanza entre marcos: Las empresas deberían considerar la creación de equipos de cumplimiento dedicados o la consolidación de responsabilidades en funciones de gestión de riesgos existentes para supervisar el cumplimiento bajo múltiples marcos. Al crear una estructura de gobernanza clara, las organizaciones pueden mantener la coherencia, evitando la duplicación de esfuerzos y garantizando la rendición de cuentas.
Pruebas de resiliencia cibernética: No hay cumplimiento sin pruebas periódicas de los sistemas y procesos. Las organizaciones deben desarrollar un programa de pruebas integral que incluya pruebas de penetración, equipos rojos y ejercicios de continuidad del negocio para cumplir con los requisitos de NIS2 y DORA. Las organizaciones deben alinear sus procedimientos de prueba con los requisitos del marco para garantizar una postura de seguridad más resistente.
Benefíciese de la tecnología: Para facilitar la gestión del cumplimiento, las empresas deben utilizar soluciones tecnológicas e integrarlas en su estrategia general de seguridad. Esto incluye soluciones basadas en datos para evaluación de riesgos, gestión de incidentes y pruebas de resiliencia. Para garantizar informes más precisos, se deben considerar soluciones automatizadas para ayudar a optimizar los procesos y reducir los esfuerzos manuales.
Desarrollar confianza y transparencia: Para que exista confianza, las organizaciones deben, de acuerdo con NIS2 y DORA, compartir cómo la empresa maneja la información y los datos personales, incluido cómo los protege. Proporcionar esta información contribuirá en gran medida a permitir iniciativas de ciberseguridad más amplias. Una respuesta de seguridad sólida va más allá de la protección de datos e incluye reguladores, empleadosconsumidores y más. Por lo tanto, el cumplimiento continuo puede significar la diferencia entre un mal necesario y un socio confiable.
Convierta los desafíos de cumplimiento en oportunidades
A medida que se acercan las fechas límite de NIS2 y DORA, la adopción de un enfoque unificado para la gestión de riesgos, informes de incidentes, pruebas de resiliencia, tecnología y más puede ayudar a las organizaciones a navegar el panorama regulatorio de manera efectiva. El objetivo no es sólo cumplir con estos marcos, sino también aprovecharlos como catalizadores para mejorar la postura general de seguridad y la resiliencia operativa.
Hemos enumerado las mejores herramientas de monitoreo de red.
Este artículo se produjo como parte del canal Expert Insights de TechRadarPro, donde mostramos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí: https://www.techradar.com/news/submit-your-story-to-techradar-pro