A poco menos de un mes de la fecha límite para la implementación de la directiva NIS-2 en la Unión Europea, las empresas aún muestran un preocupante rezago en sus preparativos para cumplir con las nuevas normativas de ciberseguridad. Un reciente informe de Kaspersky alerta sobre la falta de preparación de muchos directivos ante las exigencias que se avecinan, dejando en riesgo sectores estratégicos como la energía, el transporte y las telecomunicaciones.
La directiva NIS-2, vigente desde enero de 2023, tiene como objetivo reforzar la seguridad digital en infraestructuras críticas. Los Estados miembros de la UE deben garantizar su cumplimiento antes del 17 de octubre de 2024, un reto que, según el informe titulado Ciberseguridad empresarial y amenazas crecientes en la era de la IA, sigue siendo mayor de lo previsto.
De acuerdo con el estudio, la implementación de las medidas requeridas para garantizar la seguridad en redes y sistemas de información es insuficiente. Solo el 22 % de las empresas ha comenzado a regular el uso de la inteligencia artificial (IA), una de las áreas clave dentro de las nuevas normativas. En el caso del sector automotriz, regulado por WP.29, menos del 25 % de las organizaciones ha iniciado acciones concretas para cumplir con estas exigencias.
Retos para España sobre la directiva NIS-2
En España, la directiva NIS-2 afecta principalmente a sectores esenciales como la energía, la banca y la salud. Aunque el Gobierno trabaja en la adaptación de estas normativas, el informe de Kaspersky subraya que muchas empresas españolas aún no han implementado las políticas de análisis de riesgos y gestión de incidentes que se requieren. Sectores como el transporte y la energía, fundamentales para la economía nacional, serán especialmente vulnerables si no se acelera la adopción de medidas de ciberseguridad.
La IA y la falta de regulación
El avance de la inteligencia artificial en las empresas europeas es otro de los grandes desafíos. Aunque más de la mitad de los altos directivos afirman utilizar IA para optimizar sus operaciones, solo el 22 % ha abordado seriamente su regulación interna. Esto deja a muchas organizaciones expuestas a potenciales ciberataques y brechas de seguridad, ya que la gestión de datos y la protección de información siguen siendo áreas débiles.
Un estudio paralelo de Kaspersky revela que, aunque la mayoría de los directivos son conscientes de los riesgos asociados a la IA, muchos subestiman la capacidad de los atacantes para explotar sus vulnerabilidades. Esta falta de acción podría desencadenar graves consecuencias, ya que las empresas no cuentan con las medidas necesarias para hacer frente a las amenazas emergentes.