La aplicación de la Directiva NIS2 ha entrado plenamente en vigor y tendrá un gran impacto en la forma en que las empresas tendrán que gestionar el riesgo de los proveedores en los próximos años.
La directiva lleva gestándose desde 2016, cuando fue propuesta por primera vez por la vicepresidenta de la Comisión Europea Andrus Ansip y el Comisario para el Mercado Único Digital Mariya Gabriel durante un discurso en un acto organizado por la Comité Económico y Social Europeo (CESE). En su presentación, Ansip y Gabriel esbozaron su visión de una versión actualizada de la Directiva sobre seguridad de las redes de información (DSRI)que se había puesto en marcha en 2010, pero no fue especialmente eficaz porque carecía de un mecanismo de cumplimiento.
Repercusiones de la NIS2 en las pequeñas y medianas empresas
La Directiva NIS2 pretende mejorar la seguridad de los sistemas y redes de información de la UE.
Exige a las empresas que prestan servicios esenciales que apliquen un "sistema integral" de gestión de riesgos, que incluya:
- Personas (empleados)
- Activos físicos (ordenadores, servidores, etc.)
- Sistemas y datos
También exige a todas las empresas que establezcan un proceso de gestión de riesgos de su cadena de suministro.
Esto significa que toda empresa que opere en la UE debe tener una estrategia clara para trabajar con terceros proveedores.
La Directiva se aplica a todas las empresas (incluidos los bancos) que utilizan productos o servicios de terceros en el marco de sus actividades cotidianas..
El ejemplo más común es la compra de sistemas informáticos a otra empresa, pero hay muchos más ejemplos. Además de ordenadores, también puede utilizar software o servicios en la nube proporcionados por otras empresas: cualquier cosa comprada directamente a ellos se clasifica como parte de su cadena de suministro a efectos de NIS2.
Las implicaciones serán de gran alcance para miles de organizaciones: se calcula que afectará a más de 30 millones de empresas en toda Europa.
NIS2 y gestión de proveedores
Además de esto, uno de los componentes clave de esta directiva es el énfasis en la gestión del riesgo cibernético con respecto a terceros proveedores.
Es importante entender lo que NIS2 entiende por "proveedor externo" y en qué se diferencia de otros tipos de relaciones comerciales.
El término "proveedor externo" se refiere a cualquier empresa de la que usted dependa para obtener bienes o servicios (excluidos subcontratistas o empleados)..
Por tanto, una empresa con la que trabajas es un "proveedor tercero" si le compras un producto o servicio.
Los proveedores son la causa de las agresiones
Según un reciente informe de Ponemon Institute, Deloitte y Shared Assessments Program, el 61% de todas las infracciones informáticas de los dos últimos años fueron causadas directamente por terceros proveedores.
En otras palabras, el los proveedores externos tienen más del doble de probabilidades de provocar filtraciones de datos que los usuarios internos. Además, estas infracciones suelen deberse a problemas de seguridad que se pasaron por alto durante una auditoría.
Según una encuesta de Forrester Consulting Inc. sólo el 27% de las organizaciones realizan evaluaciones de riesgo de los proveedoresi y casi la mitad (48%) no cuenta con un proceso formal de gestión de riesgos de terceros.
Esto significa que muchas empresas operan sin protección contra los ciberataques de sus proveedores, ¡o incluso sin ser conscientes de que podrían producirse!
Por este motivo, la directiva NIS2 hace especial hincapié en identificar y mitigar los riesgos asociados a estos proveedores.
Como en cualquier otro aspecto de la gestión de la cadena de suministro, es importante garantizar una gestión adecuada de terceros. A menudo, terceros prestan servicios cruciales como el almacenamiento, la logística y el transporte.
Como en cualquier otro aspecto de la gestión de la cadena de suministro, es importante garantizar una gestión adecuada de terceros. Esto se debe a que a menudo son terceros los que prestan servicios clave como el almacenamiento, la logística y el transporte.
Estos servicios pueden ser utilizados por una empresa para cumplir sus obligaciones en virtud de la Directiva NIS2, pero también pueden ser utilizados por ciberdelincuentes que deseen explotar las vulnerabilidades de su cadena de suministro o robar sus datos.
Por ello, la directiva NIS2 hace gran hincapié en la identificación y mitigación de los riesgos asociados a estos proveedores.
Cómo empezar a gestionar el ciberriesgo de los proveedores
Pero, ¿cómo pueden las empresas gestionar eficazmente el riesgo cibernético de sus proveedores?
Una solución es elutilización de una plataforma de gestión del riesgo de los proveedores.
En general, una plataforma de gestión del riesgo de los proveedores permite a las empresas establecer y aplicar requisitos políticos, llevar a cabo la diligencia debida con los proveedores, supervisar su cumplimiento de dichas políticas y normas, y proporcionar un único punto de rendición de cuentas para toda la información pertinente.
Por lo que respecta al riesgo cibernético específico, las empresas pueden utilizar la plataforma para evaluar y gestionar el riesgo cibernético de sus proveedores mediante la recopilación, el análisis y el intercambio seguro de datos procedentes de múltiples fuentes.
Esto permite visión holística de su cadena de suministro, incluida la identificación de vulnerabilidades en cada nivel.
Conclusiones
La Directiva NIS2 es un paso importante en la lucha contra la ciberdelincuencia y las violaciones de datos.
Aunque al principio pueda parecer abrumador, seguir unos sencillos pasos puede ayudar a su organización a mantenerse al corriente de sus obligaciones y mitigar futuros riesgos.
Al implantar una plataforma de gestión de riesgos de proveedores, las empresas no sólo pueden cumplir la directiva NIS2, sino también mejorar la seguridad general de su organización. Es una situación en la que todos salen ganando: cumplimiento de la normativa y mayor seguridad.
Puede empezar a evaluar hoy mismo el riesgo cibernético asociado a sus proveedores solicitando acceso gratuito a nuestra nueva solución: Portal de riesgos para proveedores de Cyberangels.
