La directiva NIS-2, en vigor desde el 16 de enero de 2023, tiene como objetivo reforzar la ciberseguridad en las industrias clave de la UE. Los Estados miembros deben implementarla antes del 17 de octubre de 2024, pero un nuevo informe de Kaspersky, ‘Ciberseguridad empresarial y amenazas crecientes en la era de la IA: ¿saben los directivos saben lo que están haciendo?’, pone en duda la comprensión de los directivos sobre las legislaciones relacionadas con la ciberseguridad, como WP.29, NIS-2 y la directiva de la UE sobre la cadena de suministro.
En octubre de 2024, entrará en vigor una serie de leyes sobre ciberseguridad en la Unión Europea (UE) para mejorar la seguridad, protección e integridad digitales de las redes y sistemas de información en la UE, abarcando redes de infraestructura, vehículos o cadenas de suministro. Sin embargo, el último informe de Kaspersky revela que los directivos podrían no estar listos para cumplir con las nuevas reglas digitales, como WP.29, NIS-2, la ley de resiliencia y la directiva de la UE sobre la cadena de suministro. Según el estudio, pocas empresas han implementado medidas de ciberseguridad en relación con el uso de IA: solo el 22% ha considerado regularla. La situación es similar con WP.29: aunque el 23% de las empresas ya han elaborado planes, aún no han comenzado a implementarlos ni los han concretado.
La UE y sus Estados miembros están realizando grandes esfuerzos para fortalecer la ciberseguridad en todo el territorio europeo:
• WP.29 regula un conjunto de normas comunes de ciberseguridad para la automatización de vehículos, con el fin de optimizar los sistemas que gestionan los riesgos relacionados con las tecnologías de la información en los nuevos vehículos.
• Por su parte, las nuevas normas de ciberseguridad de NIS-2 buscan modernizar el marco legal existente en los sectores de infraestructuras críticas de la UE, como energía, agua, telecomunicaciones, transporte, salud, finanzas y bancos, y servicios digitales, teniendo en cuenta la transición digital y la evolución del panorama de amenazas cibernéticas.
• Con el objetivo de reforzar la seguridad informática y digital de los bancos, aseguradoras y empresas de inversión de la UE, la ley de resiliencia de la UE garantiza su resiliencia ante interrupciones operativas graves.
• La directiva europea sobre la cadena de suministro somete a las grandes empresas de la UE a obligaciones legales en cuanto a la debida diligencia en sus cadenas de suministro globales, con respecto a los derechos humanos y los derechos ambientales.
Normativa NIS-2 en España
La directiva NIS-2 es una normativa que afecta a sectores esenciales como energía, agua, telecomunicaciones, banca y salud, entre otros. España deberá adaptarse a esta legislación, que exige la adopción de medidas de seguridad cibernética más rigurosas, incluidas políticas de análisis de riesgos, gestión de incidentes y seguridad en la cadena de suministro. Además, se establecerán sanciones significativas para aquellas empresas que no cumplan con los requisitos antes de la fecha límite en octubre de 2024.
El Gobierno español está trabajando en la implementación de estas normativas, pero según los informes de Kaspersky, muchas empresas aún no están preparadas para los cambios que se avecinan. Entre los sectores más afectados en España se encuentran la energía y el transporte, donde las nuevas regulaciones sobre ciberseguridad y continuidad de negocio jugarán un papel crucial.
Inteligencia Artificial en las empresas españolas
La mayoría de estas legislaciones ya están en vigor o lo estarán pronto, pero las conclusiones del informe de Kaspersky señalan un problema: aunque los directivos empresariales son conscientes de los peligros de las ciberamenazas, la mayoría no comprende su complejidad ni subestima la capacidad de los grupos maliciosos para alcanzar sus objetivos. Esta situación, junto con una mala distribución de recursos, lleva a muchos directivos a luchar con las complejidades inherentes a la ciberdefensa.
Otro estudio de Kaspersky, ‘Infiltración empresarial de la IA Gen: Los ejecutivos de nivel C están una bomba de relojería de IA, conscientes de los riesgos pero demasiado complacientes para actuar’, muestra que, aunque la IA se está generalizando en el lugar de trabajo, los líderes empresariales aún necesitan más información sobre los riesgos cibernéticos asociados a su implementación. Más de la mitad (53%) de los altos directivos reconocen que la Inteligencia Artificial (IA) ya está presente en sus empresas para optimizar operaciones y simplificar algunas tareas diarias.
También se menciona que el 91% de los directivos desean saber más sobre el funcionamiento de la IA y los procesos de gestión de datos, lo que refleja un enfoque proactivo hacia el aprovechamiento de su potencial. Pero a pesar de esta disposición, pocos miden la magnitud de los riesgos, con solo el 59% de los encuestados preocupados por las filtraciones de datos relacionadas con la IA, y menos de una cuarta parte (22%) que ha llevado el tema de la regulación de IA a sus consejos de administración.
Asimismo, en España, la IA también se está convirtiendo en un nuevo miembro de la sociedad, según los resultados del nuevo estudio de Kaspersky ‘Superstición e inseguridad: cómo se relacionan los usuarios españoles con el mundo digital’. Asimismo, el 48% de los usuarios españoles cree que la IA ya se ha convertido en una parte fundamental de sus vidas, y el 44% tiene una visión positiva de su potencial para ofrecer muchas oportunidades laborales y mejorar el futuro para todos.
Lamentablemente, la IA no es el único problema, y se observa una cierta falta de preparación en los países e industrias afectados. En el sector automotriz, una encuesta de Kaspersky indicaba que, a un año de la entrada en vigor de una de las regulaciones clave de WP.29, el 42 % de los directivos encuestados no tenía aún un plan para implementar la norma, y el 63,5 % confesó no estar muy involucrado en la planificación de las próximas regulaciones. La industria automotriz y sus proveedores están, por lo tanto, muy retrasados en la implementación de las regulaciones.
“La ciberseguridad está en el centro de todas nuestras actividades hoy en día, desde nuestros desplazamientos hasta el buen funcionamiento de nuestras empresas e instituciones. Sin embargo, se observan alarmantes deficiencias en la implementación de las medidas de protección digital de la UE, lo que podría provocar una grave crisis de ciberseguridad. Dado el escaso número de empresas que regulan el uso de la IA en su organización y la insuficiencia de las medidas de ciberseguridad implementadas, el riesgo de enfrentar ciberataques y filtraciones de datos se multiplica. Las empresas deben asignar recursos urgentemente y anticipar la legislación futura para evitar consecuencias graves”, comenta José Antonio Morcillo, Head of Channel Iberia de Kaspersky.
Las empresas necesitan soluciones de ciberseguridad automatizadas, flexibles y transparentes, como Kaspersky Next, con capacidades avanzadas que les permitan detectar, investigar y responder eficazmente a las amenazas avanzadas en tiempo real. Las deficiencias en cuanto a conocimientos, la falta de preparación de los responsables de la ciberseguridad y la actual escasez de habilidades subrayan la necesidad de contar con productos EDR y XDR capaces de abordar las diferentes necesidades de las empresas con un enfoque proactivo e integral.
Kaspersky es una compañía global de ciberseguridad y privacidad digital fundada en 1997. Con más de mil millones de dispositivos protegidos hasta la fecha frente a ciberamenazas emergentes y ataques específicos, la profunda experiencia de Kaspersky en inteligencia de amenazas y seguridad se transforma constantemente en innovadoras soluciones y servicios de seguridad para proteger a empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo.
Descubre más noticias de Kaspersky:
-Óscar Suela Morales, nuevo director general de Kaspersky Iberia
