1. Página de inicio
  2. La Lupa
  3. Las empresas no están preparadas para las nuevas normas de ciberseguridad

Las empresas no están preparadas para las nuevas normas de ciberseguridad

Las empresas no están preparadas para las nuevas normas de ciberseguridad

Miguel Ángel Valero

Europa ha impulsado la nueva normativa de ciberseguridad NIS2, lo que supone un cambio que puede convertirse en un riesgo. Según los últimos datos, el 73% de las empresas en Europa no cumple con los requisitos básicos de la nueva normativa y España es de los países más rezagados. La falta de preparación puede derivar en sanciones de hasta 10 millones de euros para los directivos responsables.  Este reciente reglamento tiene como objetivo endurecer los requisitos de ciberseguridad en un contexto donde los ciberataques se han convertido en algo habitual.

 Sin embargo, según destacan los expertos, “las empresas españolas no están preparadas todavía para una implantación como esta”.  De hecho, la NIS2 prevé sanciones a directivos en caso de que no se garantice su cumplimiento, lo que puede suponer un riesgo tanto en términos de seguridad como en lo que respecta a la estabilidad económica de las compañías. Por si fuera poco, datos de la Agencia Europea de Ciberseguridad sostienen que solo el 27% de las empresas europeas cumple con los requisitos básicos que impone la NIS2.  

“ENS y NIS2 obligan a garantizar una trazabilidad, gestión de incidentes y seguridad de la infraestructura IT de una compañía”, explica Sancho Lerena, CEO de Pandora FMS. “El problema es que muchas compañías siguen dependiendo de herramientas aisladas y de una serie de procesos manuales que no son nada sencillos ni prácticos”, destaca.

Por ello, según recoge NIS2, los directivos responsables de las compañías podrían ser sancionados con multas de hasta 10 millones€ o incluso del 2% del volumen de negocio anual. Un castigo de gran impacto en las cuentas de cualquier entidad del mercado.

La problemática que se encuentran las empresas españolas es variada, pero se resume en la falta de presupuesto y la falta de plantilla especializada. Sin ir más lejos, según análisis de Pandora FMS, los empleados especialistas IT en España crecen por debajo de la media de la UE  y están por debajo de la media de los 27 (4,4% frente al 4,8% de media).

“Muchas empresas no tienen presupuesto ni personal para cumplir con los nuevos requisitos de ciberseguridad, lo que les deja en una posición de riesgo ante posibles auditorías y sanciones”, subraya Sancho Lerena, que señala el poco avance que hay en la empresa española en este respecto. “Ni las grandes multinacionales del país tienen un equipo completamente actualizado”, destaca.

Según indica Lerena, sigue haciendo falta expandir sistemas más automatizados e integrados que optimicen el cumplimiento normativo y no generen una sobrecarga operativa ni costes innecesarios. Un proceso que conlleva tiempo, pero también inversión y adquisición de personal cualificado.   El experto subraya que el cumplimiento de NIS2 no es solo una cuestión legal, sino de supervivencia empresarial: quien no se adapte, se arriesga a perder contratos, sufrir ciberataques y enfrentar sanciones millonarias.  

“Muchas veces se habla de ciberseguridad como si fuera algo etéreo que solo le pasa a las grandes compañías y que estas ya están protegidas. Pero es un hecho que en los últimos años, pese al descenso numérico de los ciberataques a empresas estratégicas, la gravedad de los ataques es mayor y con grandes consecuencias operativas y económicas”, insiste.

Marsh: Las pymes europeas van un 15% por detrás de las grandes empresas

Un estudio de Marsh, el bróker de seguros y consultor de riesgos del mundo, insiste en esa falta de preparación de las empresas. Los controles en ciberseguridad de las pequeñas y medianas empresas (pymes) a lo largo de la Unión Europea van por detrás de las grandes organizaciones en una media del 15%, según Why the Cybersecurity Gap Between SMEs and Large Organizations Matters (Por qué es importante la brecha de ciberseguridad entre las pymes y las grandes organizaciones).

El informe analiza la brecha de ciberresiliencia entre 320 pymes, medianas y grandes organizaciones de toda la UE -clasificadas por ingresos anuales inferiores a 51 millones€, entre 51 millones y 250 millones, y superiores a 250 millones€- utilizando datos de la herramienta de autoevaluación cibernética de Marsh, y se centra en los índices de implantación de 12 controles de ciberseguridad. El informe indica que las grandes corporaciones aplican controles de ciberseguridad con más eficacia que las pymes. Las grandes organizaciones han obtenido una puntuación del 80% en 12 controles de ciberseguridad, mientras que las pymes alcanzaron una media del 65%. En particular, el 91% de las grandes empresas exige autenticación multifactor para los inicios de sesión remotos, frente al 75% de las pymes. 

El informe también destaca la necesidad crítica de mejorar las pruebas de los planes de respuesta a incidentes, ya que solo el 40% de las pymes las llevan a cabo, frente al 61% de las grandes empresas. A pesar de las mejoras en sus capacidades de respuesta a incidentes, las pymes y las organizaciones de mediana capitalización se están quedando atrasadas. 

Además, existen diferencias significativas entre sectores: el 85% de las pymes del sector financiero exigen formación en ciberseguridad a sus empleados, mientras que en el sector industrial solo lo hace el 58%. 

El informe subraya la necesidad de que las pymes participen en el mercado de los ciberseguros, en rápida expansión, ya que actualmente muchas no están aseguradas o lo están insuficientemente, lo que da lugar a una importante laguna de protección. Si bien las barreras históricas han restringido el acceso a una cobertura adecuada, el mercado dispone actualmente de soluciones innovadoras que ofrecen a las pymes la oportunidad de cerrar esta brecha de cobertura. 

Gamze Konyar, Head of Cyber de Marsh Europe, ha declarado: “Las pymes son vitales para las infraestructuras nacionales, y sus vulnerabilidades cibernéticas pueden dar lugar a pérdidas financieras y filtraciones de datos, lo que amenaza la estabilidad económica y la confianza ciudadana. Como parte integrante de la cadena de suministro, también pueden plantear riesgos para las empresas más grandes. Es imperativo mejorar la colaboración para salvar la brecha de ciberseguridad de las pymes y desarrollar soluciones a medida desde el mercado asegurador”. 

Typhaine Beaupérin, Chief Executive Officer de la Federación Europea de Asociaciones de Gestión de Riesgos (FERMA), añadió: “A medida que las ciberamenazas siguen evolucionando, este informe muestra la urgente necesidad de que todas las organizaciones, en particular las pymes, refuercen sus medidas de ciberseguridad para garantizar la resiliencia. Hace un llamamiento para aumentar la concienciación, la educación y el apoyo a prácticas sólidas de ciberseguridad, instando a las partes interesadas -gobiernos, asociaciones industriales y organizaciones más grandes- a proporcionar recursos y oportunidades de colaboración para mejorar la ciberresiliencia de las pymes”.  

ciberseguridad NIS2 Pandora FMS Marsh
La venta masiva de dólares evidencia el pánico de los inversores a la guerra comercial
Portocolom ve oportunidades de inversión en infraestructuras del agua
Geopolítica y tecnología obligan a repensar la banca