La Directiva NIS representa la primera legislación de la UE sobre ciberseguridad. Uno de sus pilares fundamentales es la implementación de la gestión de riesgos y las obligaciones de información para los operadores de servicios esenciales (OES) y los proveedores de servicios digitales (DSP). Precisamente, ahora que se cumplen cuatro años de su entrada en vigor, ENISA ha publicado el documento NIS Invest Report. El objetivo es analizar el gasto en ciberseguridad para servicios de red y de información bajo la reglamentación de la Directiva NIS. El estudio se basa en una encuesta a 251 organizaciones OES y DSP de Francia, Alemania, Italia, España y Polonia. De ellas, el 82% confirma que la Directiva NIS tuvo un efecto positivo en la seguridad de su información.
Desafíos de la Directiva NIS
Ahora bien, los retos todavía persisten. Primeramente, la falta de claridad de las expectativas de la Directiva NIS después de la transposición a la legislación nacional fue un problema común. Más del 35% de las organizaciones encuestadas cree que las expectativas de la Directiva NIS no están claras. Asimismo, el 22% de los encuestados mencionó el apoyo limitado de las autoridades nacionales como uno de sus principales desafíos al implementar la Directiva.
El director ejecutivo de la Agencia de la UE para la Ciberseguridad, Juhan Lepassaar, se pronunció al respecto. “Estos datos indican que la Directiva NIS ha sido una gran herramienta para impulsar las inversiones”; pero reconoció que aún existen ciertas brechas. “Es necesario un marco estratégico más claro y un enfoque más elaborado. La revisión de la Directiva NIS es oportuna y, por lo tanto, puede abordar estos desafíos, construyendo una red más sólida y un marco de seguridad de la información”, manifestó.
Es más, el propio estudio compara las organizaciones de la UE con las de Estados Unidos. En este sentido, el documento muestra que las primeras asignan una media del 41% menos a la seguridad de la información que las segundas.
Otras conclusiones del estudio
Para finalizar, el estudio desvela otra serie de conclusiones destacadas:
- El presupuesto medio para los proyectos de implementación de la Directiva NIS es de aproximadamente 175.000 €. Asimismo, hay un 42,7% de las organizaciones afectadas que asignan entre 100.000 € y 250.000 €. Algo menos del 50% de los encuestados tuvo que contratar expertos adicionales en materia de seguridad.
- Las empresas priorizaron los siguientes dominios de seguridad: gobernanza, riesgo y cumplimiento y seguridad de la red.
- Al implementar la Directiva NIS, el 64% de las empresas adquirieron soluciones de recopilación de registros de eventos e incidentes de seguridad, así como servicios de formación y concienciación sobre seguridad.
- Las “expectativas poco claras” (35%) y el “apoyo limitado de la autoridad nacional” (22%) se encuentran entre los principales desafíos a los que se enfrentan las empresas al implementar la Directiva NIS.
- El 81% de las organizaciones ha establecido un mecanismo para reportar incidentes de seguridad de la información a su autoridad nacional.
- El 43% de las compañías experimentó incidentes de seguridad de la información con un impacto financiero directo de hasta 500.000 €, mientras que el 15% experimentó incidentes con más de medio millón de euros.
Archivado en: