/Rectangle%20239.png?width=13&height=13&name=Rectangle%20239.png){kind=small}
En los últimos años, la Unión Europea (UE) ha fortalecido significativamente sus regulaciones sobre seguridad de la información, con el objetivo de proteger los datos y asegurar la resiliencia digital de las organizaciones. Las más recientes y destacadas de estas normativas son NIS 2 y DORA.
Un análisis comparativo
La Directiva de Seguridad de Redes e Información 2 (NIS 2), que entrará en vigor en octubre de 2024, amplía la cobertura de la NIS original, exigiendo a sectores críticos, como la salud, energía, transporte, finanzas e infraestructura digital, que implementen medidas de ciberseguridad más robustas. El objetivo de NIS 2 es mitigar los riesgos de ciberataques y fomentar la cooperación entre los estados miembros de la UE. Los principales puntos de NIS 2 incluyen la gestión de riesgos de las Tecnologías de la Información y la Comunicación (TIC), notificaciones obligatorias de incidentes y la implementación de medidas preventivas para proteger redes y sistemas de información.
La Ley de Resiliencia Operativa Digital (DORA) está programada para entrar en vigor en enero de 2025 y se enfoca específicamente en el sector financiero. DORA establece requisitos estrictos para la gestión de riesgos TIC, abarcando bancos, compañías de seguros, firmas de inversión, proveedores de servicios de pago y otras instituciones financieras. DORA exige a estas instituciones implementar medidas para asegurar la resiliencia operativa, realizar pruebas periódicas de resiliencia, reportar incidentes TIC y mantener sólidos planes de continuidad de negocio.
La siguiente tabla resume los principales puntos de contraste entre NIS 2 y DORA:
|
|
NIS 2 |
DORA |
|
Fecha de creación |
14 de diciembre de 2022 |
16 de enero de 2023 |
|
Entrada en vigor |
17 de octubre de 2024 |
17 de enero de 2025 |
|
Sectores críticos cubiertos |
|
|
|
Objetivos principales |
|
|
|
Sanciones por incumplimiento |
Las sanciones varían según la legislación nacional de los estados miembros e incluyen:
|
Las sanciones también varían e incluyen:
|
|
Otras fechas relevantes |
|
Las instituciones tendrán hasta 18 meses después de la entrada en vigor para cumplir con los requisitos específicos. |
¿Por qué debo cumplir?
No cumplir con estas regulaciones conlleva riesgos importantes para las instituciones. Las empresas pueden enfrentar multas significativas y sanciones legales, lo que puede llevar a la pérdida de confianza de los clientes y al debilitamiento del negocio.
Además, la exposición a ciberataques puede resultar en violaciones de datos sensibles, pérdidas financieras y daños irreparables a la reputación de la empresa.
¿Qué ciberataques y amenazas están implicados?
Las regulaciones de seguridad de la información NIS 2 y DORA tienen como objetivo mitigar globalmente ciberataques, amenazas y fallos de seguridad como:
- Malware: software malicioso como virus, gusanos, troyanos, ransomware o spyware.
- Phishing y spear phishing: envío de correos fraudulentos (dirigidos o no) que parecen ser de fuentes confiables para obtener información sensible.
- Ataques de Denegación de Servicio (DoS) y Denegación Distribuida de Servicio (DDoS): ataques enfocados en hacer que los servicios en línea no estén disponibles sobrecargando los servidores o la red con tráfico masivo.
- Ransomware: malware que encripta los datos y exige un pago (rescate) para entregar la clave de descifrado.
- Robo de credenciales: obtener credenciales de inicio de sesión para acceder a sistemas y datos sensibles.
- Fallos en la configuración de seguridad: un ataque que explota configuraciones incorrectas o débiles en sistemas de TI.
- Ataques de día cero, exploits y vulnerabilidades de software: ataques que explotan vulnerabilidades desconocidas o no parcheadas en un sistema o software.
Otras regulaciones relevantes
Además de NIS 2 y DORA, otras regulaciones europeas en curso juegan un papel crucial en la seguridad de la información, como:
- Reglamento General de Protección de Datos (GDPR)
En vigor desde 2018, regula el tratamiento de datos personales e impone severas sanciones por violaciones. - Trusted Information Security Assessment Exchange (TISAX)
Estándar específico para la industria automotriz, que garantiza la protección de la propiedad intelectual y los datos sensibles. - Reglamento eIDAS
Establece normas para servicios electrónicos confiables, incluyendo firmas electrónicas y autenticación.
Compartiendo la responsabilidad
Dada la complejidad y el alcance de estas regulaciones, se recomienda encarecidamente que las empresas busquen el apoyo de consultoras especializadas que puedan brindar la experiencia necesaria para garantizar el cumplimiento, ayudar a implementar las mejores prácticas y preparar a las empresas para auditorías y posibles incidentes.
Además, consultoras como Alter Solutions ofrecen apoyo continuo, ayudando a las empresas a adaptarse a los cambios regulatorios y a mantenerse enfocadas en sus actividades principales, mientras se aseguran de cumplir con la legislación vigente.
En resumen, cumplir con las regulaciones de seguridad de la información en Europa no es solo un requisito legal, sino una práctica esencial para proteger los negocios y mantener la confianza en el mercado digital.
