Ciberseguridad: hacia el endurecimiento de las obligaciones de seguridad por parte de las empresas

Las entidades esenciales (con un volumen de negocios de más de 50 millones de euros y más de 250 empleados) y las entidades importantes (con un volumen de negocios de más de 10 millones de euros y más de 50 personas) de los sectores críticos y de alta criticidad (ver la tabla a continuación) se verán afectadas por está nueva directiva que tiene como objetivo fortalecer la ciberseguridad.

Sectores de alta criticidad	Sectores críticos
Energía Transporte Sector sanitario Sector bancario Gestión del agua Infraestructura digital Gestión de servicios TIC Administración pública Espacio	Servicios postales Gestión de residuos Fabricación Productos químicos Productos alimenticios Proveedores digitales Investigación

Mientras que la primera versión de la directiva se enfocaba en los puntos siguientes:

• La mejora de las capacidades en materia de ciberseguridad a escala nacional
• El fortalecimiento de los intercambios dentro de la Unión Europea
• La introducción de obligaciones de gestión de riesgos y de notificación de incidentes para los operadores de servicios esenciales y los proveedores de servicios digitales que procesan datos.

La segunda versión de la directiva europea NIS 2 presenta nuevos desafíos para las empresas y especialmente las directrices siguientes:

• Adoptar un enfoque de análisis y de gestión de riesgos (Artículo 20 - Gobernanza y formación)
• Asegurar la continuidad de las actividades y la seguridad de la cadena de suministro.
• Garantizar la seguridad en la implementación, el desarrollo y el mantenimiento de las redes y sistemas de información (Artículo 21 - Medidas para la gestión de riesgos)
• Notificar los incidentes susceptibles de causar daños operativos o financieros significantes en un plazo de 24 horas (Artículo 23 - Notificación de incidentes)

Si las empresas se ven afectadas por esta nueva directiva digital, también lo están los proveedores, que están obligados a garantizar la seguridad y el mantenimiento de los productos así como a notificar cualquier incidente que pueda causar daños operativos.

De acuerdo con el barómetro mundial de la seguridad electrónica para el año 2024, el 51% de las empresas invierten en equipamiento para identificar las amenazas y detectar los eventos para un mejor cumplimiento de la directiva. Ante el recrudecimiento de las amenazas y la evolución rápida de las normativas en términos de seguridad de redes, el 85% de las empresas desean anticipar y prevenir las amenazas para protegerse de ellas. La videovigilancia ocupa la segunda posición de las inversiones que aumentarán en los próximos 18 meses para el 55% de las empresas encuestadas, por detrás del control de acceso (fuente: barómetro de la empresa securitas technology).

Los servidores de tiempo son esenciales para asegurar la seguridad de los datos informáticos y para cumplir con los nuevos requisitos europeos, a través de 3 principales cuestiones:

¿Qué soluciones adoptar para reducir la superficie de ataque?

Se recomienda instalar una fuente local fiable para no depender de recursos externos y para eliminar los riesgos asociados a recuperar la hora de Internet. El servidor de tiempo Bodet asegura la seguridad de las redes usando las funciones siguientes:

• Partición física al añadir tarjetas de red modulares
• Partición lógica según el estándar 802.1Q (VLAN)
• Filtrado de red según el estándar 802.1X
• Control del tráfico mediante un cortafuegos integrado

¿Cómo asegurar la seguridad de un sistema de registro?

Dentro de una red informática, se debe registrar cada evento, especialmente para garantizar la trazabilidad de la información, la anterioridad de los archivos, el acceso a los datos, e incluso para constituir una prueba jurídica. El registro resulta esencial para mejorar la seguridad de un sistema de información. Un servidor de tiempo Bodet proporciona la marca de tiempo de todos los equipos digitales al distribuir una información horaria autenticada mediante una clave simétrica que cumple los requisitos de conformidad de la nueva directiva NIS 2.

¿Cómo proteger la administración de los sistemas de información?

La administración de los sistemas de información es un vector de ataque a menudo utilizado por los cibercriminales, con el fin de comprometer el funcionamiento y la seguridad de una instalación y de sus datos. Los servidores de tiempo Bodet responden a está problemática al ofrecer los servicios siguientes:

• Interfaz web disponible en HTTPS
• Autenticación de usuario cifrada mediante LDAPS o RADIUS
• Supervisión cifrada mediante Syslog o SNMPv3

Más concretamente, la directiva NIS 2 sobre la ciberseguridad se enfoca en dos problemáticas que se plantean hoy en día: la seguridad de la arquitectura y el registro del sistema de información para asegurar una mejor protección de los datos.

Un servidor de tiempo desempeña un papel importante a la hora de afrontar estos retos:

• El registro, el análisis y la correlación de toda la red informática: el servidor de tiempo desempeña un papel importante para sincronizar todos los equipos de la red y analizar los registros.
• La seguridad de la arquitectura: el servidor de tiempo se vuelve esencial para alejarse de las fuentes NTP externas.

Hoy en día, los actores de la ciberseguridad ayudan a las empresas a transformarse y cumplir esta nueva normativa. Al proporcionar verdaderas soluciones y nuevas aplicaciones, las entidades e instituciones están exentas de sanciones que pueden costar hasta 10 millones de euros o el 2% del volumen de negocios anual por infraestructuras digitales no conformes. Aunque parece que queda tiempo antes del 2025 para implementar la segunda versión de la directiva NIS, el periodo de transposición de la directiva se finalizará en octubre 2024, lo que representa un desafío crucial y urgente para las empresas europeas esenciales e importantes. Esta nueva directiva se aplica a todos los estados miembros de la Unión Europea con el fin de ofrecer un mayor nivel de seguridad y así asegurar la seguridad de los datos, esto siendo el desafío financiero del futuro.