La transformación digital y la creciente interconexión global nos dibuja un mundo de ciberseguridad mucho más complejo. Han entrado en vigor normativas como la NIS2 (Ley de Seguridad de Redes y Sistemas de Información) y la DORA (Ley de Resiliencia Operativa Digital), que marcan un cambio significativo en la seguridad de los datos y las operaciones empresariales. No son únicamente instrumentos técnicos; sino estrategias esenciales para que las compañías refuercen sus infraestructuras digitales y protejan sus operaciones frente a un entorno de amenazas en permanente evolución.
Para situarnos, NIS2 y DORA pretenden fortalecer la resiliencia y la seguridad en sectores clave. NIS2 está más enfocado a la infraestructura crítica. Amplía su alcance a sectores estratégicos como la aviación, empresas de logística, la agricultura, supermercados, centrales eléctricas… y ahora también abarca los servicios gestionados por las empresas informáticas. En caso de no adaptarse a la NIS2, las multas pueden suponer hasta el 2% de los ingresos mundiales. Las sanciones mencionadas están sujetas a cambios a medida que evolucionan los marcos normativos. Mantenerse al día de las últimas directrices es fundamental para evitar incumplimientos.
Por otra parte, DORA, que afecta al sector de los servicios financieros, adopta una visión integral de la resiliencia operativa digital, y exige la prevención de ciberataques y la capacidad de gestión y recuperación ante potenciales interrupciones tecnológicas. En lo que respecta a esta normativa, las multas pueden ascender al 1% de los ingresos a nivel mundial. Además, las empresas pueden incurrir en sanciones diarias si no abordan a tiempo los problemas detectados.
Hay algunas normas técnicas dentro de DORA. Una de las más destacadas es la prueba de penetración de amenazas, que se debe realizar en los sistemas implicados. Con ella, se pretende averiguar que no existe ni un solo punto ciego y cerciorarse de que la cadena de suministro es resiliente. Es decir, exige un nivel de ciberseguridad muy elevado.
Ambas normativas imponen obligaciones que van más allá de lo técnico y regulan también aspectos como la gobernanza corporativa, la necesidad de reportar incidentes con mayor rapidez y la obligación de que los proveedores externos de tecnología cumplan con altos estándares de seguridad. En este contexto, ¿cómo pueden las empresas cumplir con las normas mientras salvaguardan datos?
Índice de temas
¿Por qué es clave encriptar los datos?
Es aquí donde el almacenamiento encriptado desempeña un rol fundamental. No se trata solo de sistemas para recoger información, sino de activos estratégicos capaces de garantizar la confidencialidad, la integridad y la disponibilidad de los datos. Tanto en dispositivos móviles como en estaciones de trabajo o centros de datos, las soluciones de almacenamiento encriptado ofrecen múltiples beneficios que se alinean con los principios de NIS2 y DORA.
Por ejemplo, el cifrado permite velar de un modo proactivo por los datos sensibles. Es decir, en caso de pérdida o robo de dispositivos, la información permanece fuera del alcance de los ‘malos’. Esto es particularmente relevante en el ámbito financiero regulado por DORA, donde la protección de la información es una cuestión innegociable. Sectores como la Sanidad y la Defensa, que manejan información muy sensible, son especialmente vulnerables y pueden enfrentarse a normas reglamentarias más estrictas en materia de cifrado.
Asimismo, las tecnologías de almacenamiento con capacidades de cifrado avanzado y gestión centralizada permiten automatizar el cumplimiento normativo, lo que disminuye la dependencia de procesos manuales complejos. En el mercado existen soluciones diseñadas para proteger los datos contra pérdidas de alimentación inesperadas y garantizar que la unidad se reinicia sin problemas en el siguiente arranque del sistema.
Cumplir con NIS2 y DORA no debe concebirse como una obligación meramente legal, sino que hemos de contemplarla como una oportunidad estratégica dentro de las empresas
Cumplir con NIS2 y DORA no debe concebirse como una obligación meramente legal, sino que hemos de contemplarla como una oportunidad estratégica dentro de las empresas. La adopción de soluciones de almacenamiento encriptado es una de las soluciones para reforzar la confianza de usuarios y demostrar un compromiso por la protección de los datos y la resiliencia operativa.
Estas normativas hacen hincapié en la necesidad de evaluar la seguridad a todos los niveles -internamente, a lo largo de la cadena de suministro y entre los proveedores externos-, fomentando un enfoque global y proactivo de la ciberseguridad. Con estas normativas, se pretende demostrar que vivimos en una sociedad estable que no se puede piratear ni vulnerar.
¿Qué características deben cumplir las unidades USB para adaptarse a NIS2 y DORA?
Una de ellas está relacionada con la manera de gestionar los riesgos. Esto variará en función de las empresas. Si las compañías creen que corren un riesgo alto, eso significa que necesitan los sistemas de gestión de contraseñas pertinentes; la orientación del proveedor correspondiente…. Es decir, no pueden apoyarse en cualquiera. En este terreno, el certificado FIPS del NIST es la norma de referencia.
Si bien es cierto que el impacto de NIS2 y DORA apenas está comenzando a notarse, su influencia va a ir mucho más allá de una simple reacción a las exigencias regulatorias. Las organizaciones deben integrarlas en una estrategia de seguridad a largo plazo que no solo contemple inversiones tecnológicas, sino que también fomente una cultura de ciberseguridad en todas las capas empresariales en un mundo digital cada vez más interconectado. Aquellas empresas que respondan con visión y anticipación cumplirán con la normativa y estarán más cerca de prosperar en un entorno cada vez más desafiante.
