La trasposición de NIS2 obligará a las empresas a ser más diligentes: sus políticas de ciberseguridad tendrán al RSI al frente

La trasposición de NIS2 obligará a un esfuerzo mayor a las empresas obligadas a cumplir esta normativa que delegarán esa labor en el Responsable de Seguridad de la Información, figura parecida al CISO para gestionar esas obligaciones. Al mismo tiempo, la responsabilidad final última será de la dirección o Consejo de Administracion de las compañías según se vislumbra del anteproyecto de ley que se está tramitando. En ese contexto, definir una política de gestión de la cadena de suministro y proveedores es fundamental para mitigar los riesgos, son claves en dicha trasposición.

Estas conclusiones definen la jornada celebrada este jueves, en la Sala Lucernario de Digitaliza Madrid, se celebra el 𝗗𝗲𝘀𝗮𝘆𝘂𝗻𝗼 𝗡𝗜𝗦𝟮: 𝗥𝗲𝘁𝗼𝘀, 𝘀𝗼𝗹𝘂𝗰𝗶𝗼𝗻𝗲𝘀 𝘆 𝗵𝗲𝗿𝗿𝗮𝗺𝗶𝗲𝗻𝘁𝗮𝘀 𝗽𝗮𝗿𝗮 𝗮𝗳𝗿𝗼𝗻𝘁𝗮𝗿 𝗹𝗮 𝗻𝘂𝗲𝘃𝗮 𝗱𝗶𝗿𝗲𝗰𝘁𝗶𝘃𝗮, organizado por ISMS Forum y la Agencia de Ciberseguridad de la Comunidad de Madrid. En este encuentro se abordaron los principales desafíos que plantea la Directiva Europea NIS2, así como las oportunidades que ofrece para reforzar la ciberseguridad empresarial.

Da la bienvenida al evento Alejandro Las Heras, consejero delegado de la Agencia de Ciberseguridad de la Comunidad de Madrid, subrayando el valor de la colaboración público-privada y la necesidad de incorporar buenas prácticas como signo de madurez y compromiso con la gestión del riesgo. “Es fundamental explicar la normativa que llega de una manera sencilla no exenta de rigor”, aclaró. En 2024, la Comunidad de Madrid puso en marcha la Agencia de Ciberseguridad, una iniciativa adscrita a la Consejería de Digitalización que busca garantizar la fortaleza digital de la región.

En su exposición, el consejero analizó los avances logrados por la Agencia en sus primeros meses. Este organismo cuenta con un presupuesto que alcanzará los tres millones de euros en 2025 y desarrolla iniciativas clave como el Servicio de Vigilancia Digital y el Equipo de Respuesta a Incidentes, diseñados para fortalecer la protección frente a ciberamenazas. Además, fomenta la colaboración público-privada, la formación en ciberseguridad y la implementación del Plan Estratégico, que definirá las políticas de protección digital en toda la región.

En declaraciones a Economist & Jurist, De las Heras destacó la importancia de estas acciones para consolidar una cultura de ciberseguridad robusta, especialmente en municipios con recursos limitados y sectores críticos como el sanitario. “El acuerdo suscrito con ISMS Forum es con una asociación de años de experiencia en esta actividad de la ciberseguridad. Queremos que, con el apoyo de la Comunidad de Madrid, lideren el ecosistema de la región y realizar una transformación sostenible. Creemos que el modelo que estamos desarrollando es positivo y exportable a otras administraciones públicas”.

Esta jornada es el primer evento que organizan conjuntamente la Consejería de Digitalización de la Comunidad de Madrid e ISMS Forum para desarrollar actividades de concienciación en materia de ciberseguridad, tanto para personas físicas como jurídicas.

Trasponer Nis2 no será fácil

Como paso previo a un debate sobre NIS2, Francisco Lázaro, CISO y DPO de Renfe explicó en un documento creado por ISMS Forum en qué consiste la trasposición que nuestro Gobierno está tramitando en el Parlamento. La Directiva NIS2 (UE 2022/2555) refuerza la seguridad de las redes y sistemas de información en la Unión Europea, estableciendo un marco común para mejorar la resiliencia digital.  “La norma obliga a más empresas y a reportar incidentes en menos tiempo y que las empresas cuenten con profesionales acreditados como el Responsable de Seguridad de la Información (RSI), tanto para entidades esenciales y críticas”.

Alejandro de las Heras explicó el papel de la Agencia de Cibeseguridad en la CAM a los asistentes a este debate. (Imagen: ISMS Forum)

Según explicó, NIS2 obliga a entidades esenciales e importantes. En el primer grupo se habla de ampliar el ámbito a empresas grandes (≥250 empleados o >50M€ de facturación anual). Se definen sectores como energía, transporte, agua, sanidad, telecomunicaciones, espacio, industria nuclear, servicios financieros, tecnologías digitales (nube, centros de datos y plataformas digitales). Y también afecta a administraciones públicas, “pero no tienen régimen sancionador”.

En cuanto a entidades importantes se habla de empresas medianas (50-249 empleados o >10M€ de facturación anual). Sectores industriales clave (fabricación, postales y mensajería, alimentación, fabricación, residuos, químico, etc.). Investigación y seguridad privada. También la directiva señala aquellas entidades transfronterizas de relieve que tengan un impacto significativo en la seguridad de la UE.

Por su parte, Mariano J. Benito, cybersecurity & privacy ambassadaor de GMV y Coordinador del Comité Técnico Operativo del Capítulo Español de Cloud Security Alliance, participó con la ponencia “Gestión de la Cadena de Suministro en Ciberseguridad: Claves del Cuestionario Unificado”, donde abordará los principales retos y estrategias para evaluar el nivel de ciberseguridad de los proveedores, garantizando el cumplimiento normativo y reduciendo riesgos asociados a terceros.

En su intervención, indicó que NIS2 va a exigir un rediseño de las estrategias de ciberseguridad en la cadena de suministro. En este sentido, debería revertirse la tendencia actual de muchos procesos de selección de pro­veedores, que dedican demasiado tiem­po y, por tanto, dinero, a que personal cualificado del proveedor rellene formu­larios kilométricos que serán revisados por personar también cualificado del cliente. A su juicio, deberían priorizar los esfuerzos en la protección, detección y respuesta ante incidentes sobre los asuntos burocráticos.

Debate sobre NIS2

En la mesa redonda moderada por María Luisa  Ribalta, directora de asuntos públicos de ISMS Forum para hablar de los retos que plantea la trasposición de NIS2, tomaron la palabra junto a De las Heras, Jesús Mérida, Ciso de Iberia, Francisco Lázaro, Ciso y DPO de Renfe y Mariano J. Benito, Privacy and Cybersecurity Ambassador, GMV que ahondaron en la necesidad de que las empresas tengan definidas sus estrategias de ciberseguridad, con una persona responsable que en este caso es el llamado Responsable de Seguridad de la Información, competencia que muy bien podría realizar el CISO de las empresas.

En este animado debate los ponentes señalaron que “la trasposición de NIS2 obliga a la dirección de las empresas a estar pendiente de esas estrategias de ciberseguridad y ponerlas en marcha y está más involucrada que antes”, apuntó Benito. Para Lázaro “el cambio es importante, la ciberseguridad es parte del negocio y hay que atenderla de forma adecuada y diligente. Es el caso de la cadena de suministro y sus proveedores que habrá que supervisar para saber si tienen los mismos estándares de ciberseguridad que nosotros”.

Francisco Lázaro explico la trasposición española de NIS2 y las aportaciones realizadas por ISMS Forum al anteproyecto. (Imagen: ISMS Forum)

Desde esa perspectiva los expertos creen que el cumplimiento de Nis2 “podría hacer a las empresas más competitivas. Obliga a las empresas y sectores de la economía con lo cual las empresas deben apostar por la ciberseguridad y contar con buenos profesionales. Ayudará a proteger a corto y medio plazo los negocios indicaban Alejandro de las Heras «porque la ciberseguridad debe estar integrada en el negocio» y el propio Jesús Mérida quien subrayaba que «cada empresa debe definir un modelo de seguridad adecuado a sus características y que en el futuro podría certificarse siguiendo estándares internacionales».

En cuanto a la pregunta hecha por Ribalta sobre el debate que hay entre regulación e innovación, los ponentes no creen que NIs2 frene la innovación “la regulación de NIS2 va a ayudar a proteger muchos negocios y el papel de responsable de Seguridad de la Información (RSI) que ISMS Fórum incluyo en las alegaciones y se ha aceptado va a dar mucho juego”, indico Francisco Lázaro. Para Mérida “la cuestión europea complica el tema regulatorio, pero se debería tender a un modelo más flexible de abajo a arriba. Es importante que las pymes cumplan NIS2 y dispongan de sus políticas de ciberseguridad”.

Respecto a los riesgos, se aludió a la cadena de suministros de cada empresa, un tema que abordaría Mariano J. Benito en una ponencia específica para explicar al asistente cómo gestionar, supervisar y revisar esos partners de la empresa, uno de los puntos débiles de las empresas que puede generar cualquier ciberataque o brecha de seguridad sino se cuida bien. Para Lázaro “es una obligación del RSI desarrollar ese inventario y esa política activa de la gestión de los proveedores”. De las Heras resaltó que “el 60& de los autónomos y pymes que reciben un ciberataque suelen cerrar más arde”. «Ahora con NIS2 lo que se pretende es que no cierren», comentó Benito.

En cuanto a si existe una cultura de ciberseguridad en las empresas, Francisco Lázaro fue critico: “Se dice a veces lo que no se hace y creo que es mejorable las políticas de ciberseguridad de muchas empresas. Hay que dedicar esfuerzo formativo y dinero para ello. Se trata de impulsar la concienciación, formación y capacitación en las empresas”. Por su parte, Mariano Benito habló de la concienciación de los usuarios, pero “también de la capacitación de los profesionales de la empresa. Creo que hay el CEO tiene mucho que decir”.

Un acuerdo estratégico

El acuerdo de colaboración suscrito por Miguel López-Valverde, consejero de Digitalización, con Carlos Saiz, vicepresidente la Asociación Española para el Fomento de la Seguridad de la Información (ISMS Forum) tiene el objetivo de fortalecer la cultura de la ciberseguridad y formar y sensibilizar a ciudadanos y empresas sobre los riesgos y desafíos que conllevan el nuevo entorno digital.

Mesa del acuerdo: Miguel López-Valverde y Carlos Saiz en primer plano. En el lado izquierdo los técnicos de la CAM con Alejandro de las Heras  y en el lado derecho Daniel García, director general y Beatriz García, subdirectora, ambos de ISMS Forum. (IMAGEN: ISMS Forum)

En ese protocolo suscrito se recogen distintas líneas estratégicas como con la concienciación y formación en ciberseguridad: campañas, talleres y cursos dirigidos a ciudadanos y empresas para impulsar el conocimiento de amenazas y buenas prácticas. Eso supondrá organizar eventos especializados: jornadas, congresos y mesas redondas con expertos del sector para fomentar el intercambio de experiencias y conocimientos.

También se insiste en el fomento del talento y la empleabilidad: programas de capacitación profesional en ciberseguridad, en respuesta a la creciente demanda de especialistas en el sector y en impulsar la colaboración con el sector privado y académico: alianzas con empresas, universidades y centros de investigación para desarrollar iniciativas innovadoras.

El protocolo destaca el desarrollo de estudios y proyectos de investigación y nuevas tecnologías: análisis de tendencias emergentes y soluciones innovadoras para proteger los entornos digitales, así como el intercambio de información y asesoramiento mutuo: cooperación continua en cuestiones relacionadas con las actividades conjuntas.

En representación de ISMS Forum han estado presentes en la firma del convenio; Carlos Alberto Saiz, vicepresidente, Daniel García, director general y Beatriz García, subdirectora.

Este convenio marca el inicio de una colaboración estratégica con vocación de futuro, que busca construir un entorno digital más seguro, resiliente e innovador para todos los madrileños.

Precisamente, el primer hito formativo ha sido esta jornada que ha cubierto Economist & Jurist este jueves en Digitaliza Madrid sobre la implementación de la directiva Nis2, pendiente de trasponer con notable éxito de convocatoria y donde los expertos vinculados a ISMS Forum como Francisco Lázaro y Mariano J. Benito abordaron los aspectos claves de esta directiva que ahora se esta trasponiendo en nuestro país y que previsiblemente se logrará antes de este verano del 2025…