- La UE está renovando su marco regulador en ciberseguridad, con un enfoque en la resiliencia cibernética.
- Las normativas clave incluyen NIS2, CER y DORA, con fechas límite próximas para su implementación.
- Las empresas deben adaptarse a estos cambios para proteger sus redes y sistemas, incluyendo la concienciación de sus empleados.
Nuevas normativas para mejorar la resiliencia cibernética
La Unión Europea está en proceso de reformar su enfoque hacia la ciberseguridad, con la resiliencia como concepto central. Este cambio implica nuevas regulaciones que las empresas deben conocer y cumplir. De acuerdo con el INCIBE, la resiliencia cibernética se define como la capacidad de un proceso u organización para anticipar, resistir y recuperarse ante ataques o problemas, minimizando el impacto.
Ya no se trata solo de responder a ciberataques, sino de preparar a las organizaciones para gestionar eficazmente cualquier incidente que pueda surgir, ya sea un ataque o un fallo en una actualización masiva.
Regulaciones clave: NIS2, CER y DORA
Entre las normativas recientes destacan la directiva NIS2, la directiva sobre entidades críticas CER, y el reglamento DORA, que afecta principalmente al sector financiero. Estas normativas tienen como objetivo mejorar la seguridad en infraestructuras críticas y esenciales, y la resiliencia operativa digital en la UE.
La NIS2 reemplaza a su predecesora y busca un nivel común de ciberseguridad en la Unión Europea. Por su parte, la normativa CER se centra en proteger los servicios esenciales. El reglamento DORA, por otro lado, se aplica al sector financiero y establece requisitos de ciberseguridad para redes y sistemas de información, con fecha de aplicación el 17 de enero de 2025.
Impacto en las empresas y desafíos de implementación
El cumplimiento de estas normativas requiere que las empresas se adapten, lo que puede implicar importantes esfuerzos económicos, especialmente para las pequeñas y medianas empresas. Además, los expertos señalan la necesidad de concienciar a los empleados sobre las buenas prácticas de ciberseguridad, ya que, como afirma René Serral, profesor de la UPC, “el ser humano es el eslabón más débil”.
Según Elisa de Hevia, socia de ciberseguridad en Deloitte, estas nuevas normativas también exigen que las juntas directivas adopten un papel más activo en la gestión de riesgos tecnológicos y cibernéticos, lo que supone un cambio cultural profundo en muchas organizaciones.
Un enfoque colectivo para fortalecer la ciberseguridad
Además de las medidas técnicas, las normativas NIS2, CER y DORA insisten en la necesidad de involucrar a todo el personal de las empresas en la protección de la ciberseguridad. Esta batalla no es individual, sino colectiva, y la resiliencia cibernética comienza por la conciencia y el papel que cada empleado juega dentro de la organización.