Las organizaciones deben dar prioridad a la resolución de las vulnerabilidades críticas de ciberseguridad para cumplir con la Directiva NIS2 de la UE y ayudar a reforzar su resiliencia frente a las amenazas cibernéticas.
Principales ideas
- Las organizaciones deben mejorar sus medidas de ciberseguridad, ya que los datos de Aon muestran que solo el 58% están preparadas para cumplir con la NIS2.
- Las áreas más débiles son la continuidad del negocio y la gestión de crisis, la gestión de incidentes y la seguridad de la cadena de suministro.
- Los órganos de gestión deben asumir de forma proactiva la responsabilidad de las estrategias de ciberseguridad de sus organizaciones.
The NIS2 Resilience Gap
La directiva europea Network and Information Security (NIS2) tiene como objetivo garantizar un «alto nivel común de ciberseguridad en todos los Estados miembros de la UE» mediante el refuerzo de los requisitos actuales. Se espera que, en la segunda mitad de 2025, la mayoría de los países de la UE hayan adoptado y publicado las medidas necesarias para cumplir con la normativa NIS2.
Aunque el Reino Unido no aplicará esta ley de la UE, se espera que la ampliación de la Directiva NIS del Reino Unido incluya requisitos similares. Se anima a las empresas británicas que operan en la UE a que se ajusten a las normas NIS2 para mantener prácticas de ciberseguridad coherentes.
Para obtener más información sobre los antecedentes de la NIS2 y sus requisitos, consulte nuestra guía anterior: ¿Está tu organización preparada desde el punto de vista cibernético para NIS2?
Para comprender mejor el grado de preparación de las organizaciones para la NIS2, durante el último año se llevó a cabo una investigación entre un grupo de clientes de Aon en EMEA, combinando elementos de evaluaciones de IT y OT. Los resultados ponen de relieve una brecha significativa en la preparación para la NIS2, con una puntuación media de solo el 58 % en nueve medidas clave de ciberseguridad y obligaciones de notificación. Aunque áreas como las soluciones de autenticación y las comunicaciones seguras obtuvieron una puntuación alta, del 79 %, la seguridad de la cadena de suministro se quedó muy atrás, con un 37 %.
Las principales áreas de debilidad de las organizaciones incluyen:
Continuidad del negocio y gestión de crisis
Las organizaciones deben mejorar sus estrategias de continuidad del negocio y gestión de crisis, que actualmente obtienen una baja puntuación del 53 % en cuanto a preparación, lo que las sitúa entre las tres últimas.
La mayoría de las organizaciones cuentan con copias de seguridad externas; sin embargo, el 65 % refleja la necesidad de una mejor preparación para las interrupciones y las emergencias. Este hallazgo subraya la necesidad de que los órganos de gestión implementen activamente y prueben periódicamente los planes de continuidad del negocio (BCP) en los entornos de IT y OT. Si bien las aseguradoras se han centrado tradicionalmente en examinar los controles técnicos, la mejora de los BCP puede conducir a una reducción del volumen de las reclamaciones y a una mejor gestión de los riesgos.
Gestión de incidentes
La preparación para la gestión de incidentes es preocupante, con un 48 %. A pesar de que el 53 % cuenta con un plan de respuesta a incidentes (IRP) y el 71 % es consciente de la necesidad de procedimientos y responsabilidades, hay margen de mejora en la realización de simulacros y la estructuración de la gestión de incidentes. Los órganos de gestión también deben participar en la notificación de incidentes significativos.
Seguridad de la cadena de suministro
Los resultados reflejan que muchas organizaciones se enfrentan a retos importantes en materia de seguridad de la cadena de suministro, con un nivel de preparación de solo el 37 %, lo que la convierte en el área más débil. Casi nueve de cada diez empresas examinadas tienen dificultades para abordar esta vulnerabilidad, y el 88 % considera difícil iniciar conversaciones sobre ciberseguridad con los proveedores clave. A menudo faltan acuerdos claros de ciberseguridad dentro de los acuerdos de nivel de servicio.
Participación de la dirección
Los órganos de dirección deben participar más activamente en las estrategias de ciberseguridad, ya que son los máximos responsables. Más allá de la continuidad del negocio y la gestión de incidentes, hay otras áreas de control que exigen una participación más activa. La dirección debe estar bien informada sobre las amenazas específicas que afectan a los activos de la organización y asumir la responsabilidad de comunicar la política y la estrategia cibernética a toda la organización. Es posible que muchos órganos de gestión no comprendan plenamente las implicaciones de la ciberseguridad y lo que esta supone en términos de resiliencia. Abordar esta laguna es un paso crucial para cumplir los requisitos de la NIS2 y mejorar la ciber resiliencia.
Sanciones por incumplir los requisitos de la NIS2
Las organizaciones que incumplan los requisitos de la NIS2 pueden enfrentarse a sanciones severas. Las empresas «esenciales» pueden incurrir en multas de hasta 10 millones de euros o el 2 % de su facturación anual total a nivel mundial (lo que sea mayor), mientras que las empresas «importantes» se enfrentan a multas de hasta 7 millones de euros o el 1,4 % (lo que sea mayor).
Cómo ha ayudado Aon a las empresas a cumplir los requisitos de la NIS2
Alimentación, agroindustria y bebidas
Una empresa de producción alimentaria con más de 50 millones de euros de ingresos se enfrentaba a deficiencias en materia de ciberseguridad. La evaluación inicial de Aon reveló necesidades urgentes en materia de respuesta a incidentes, gestión de proveedores y análisis de vulnerabilidades. Estas deficiencias suponían un riesgo de interrupción de las operaciones, lo que afectaba a la producción y a la reputación, y era fundamental abordarlas para que la empresa cumpliera la NIS2 y fuera resiliente. En consecuencia, Aon llevó a cabo una evaluación completa y estableció una hoja de ruta para ayudar a abordar estas cuestiones, mejorando la resiliencia cibernética y apoyando los esfuerzos de cumplimiento de la empresa. Esto ayudó a mitigar los riesgos operativos y a proteger la reputación de la empresa, en apoyo del objetivo de éxito a largo plazo de la misma.
Industria petrolera, almacenamiento y transporte de combustible
Una empresa del sector petrolero que desempeña un papel fundamental en la industria del almacenamiento y transporte de combustible necesitaba cumplir con la normativa NIS2. Aunque contaba con una base sólida en materia de ciberseguridad, era necesario mejorar la respuesta ante incidentes y la supervisión de terceros. El cumplimiento de la normativa NIS2 puede ayudar a proteger contra las amenazas cibernéticas y respaldar la resiliencia operativa, mientras que ignorar las deficiencias puede dar lugar a interrupciones y sanciones. Aon llevó a cabo una evaluación de riesgos, identificó las deficiencias y proporcionó una hoja de ruta que ayudó a mejorar la ciberseguridad, reduciendo así los riesgos y las posibles sanciones y salvaguardando la reputación y la estabilidad de la empresa.
Alimentación, agroindustria y bebidas
Una gran empresa de producción alimentaria con una facturación superior a 400 millones de euros necesitaba aumentar su resiliencia cibernética para cumplir los requisitos de la NIS2. Las deficiencias en materia de ciberseguridad pueden dar lugar a infracciones que afecten a las operaciones y a la reputación, y el cumplimiento de los requisitos de la NIS2 ayuda a subsanar estas deficiencias y a proteger el negocio. Aon llevó a cabo un análisis de deficiencias y actualizó los planes de respuesta a incidentes y de continuidad del negocio, con el fin de apoyar los esfuerzos de cumplimiento, lo que contribuyó a mejorar la resiliencia y la seguridad cibernéticas generales, respaldando los esfuerzos de la empresa en materia de cumplimiento e integridad operativa.
