Enisa lanza un informe sobre gestión de inversiones en ciberseguridad en el marco de la NIS2

El último informe de la Agencia de la Unión Europea para la Ciberseguridad (Enisa) tiene como objetivo ayudar a los responsables de las políticas a evaluar el impacto del actual marco de ciberseguridad de la UE, en particular la Directiva NIS2, sobre las inversiones en ciberseguridad.

'NIS Investments 2024' proporciona información clave sobre cómo las organizaciones asignan sus presupuestos de ciberseguridad y desarrollan sus capacidades de ciberdefensa con las disposiciones de la Directiva NIS2. Además, brinda recursos para que las entidades puedan prepararse de cara a cumplir con los nuevos requisitos introducidos por legislaciones como la CRA, DORA y NCCS.

"La Directiva NIS2 supone un punto de inflexión en el enfoque de Europa en materia de ciberseguridad. En un panorama de amenazas complejo y en rápida evolución, la correcta implementación de este marco normativo requiere inversiones adecuadas. Los conocimientos proporcionados por el nuevo informe son esenciales para tomar decisiones informadas y abordar posibles obstáculos y lagunas en la implementación de políticas de ciberseguridad", ha declarado Juhan Lepassaar, director ejecutivo de la Agencia de Ciberseguridad de la UE.

La edición de 2024 presenta una mejora significativa en comparación con las versiones anteriores, ya que amplía la muestra de la encuesta para incluir sectores y entidades que están dentro del alcance de la NIS2. A través de este enfoque, este documento proporciona una instantánea previa a la implementación de las métricas relevantes para los nuevos sectores y entidades bajo la NIS2, sentando las bases para futuras evaluaciones del impacto de la Directiva. 

Para elaborar este informe, se han recopilado datos de 1.350 organizaciones de todos los Estados miembros de la UE que abarcan todos los sectores NIS2 de alta criticidad, así como el sector manufacturero.

La seguridad de la información representa ahora el 9% de las inversiones en TI de la UE, un aumento significativo de 1,9 puntos porcentuales con respecto a 2022, lo que marca el segundo año consecutivo de crecimiento de la inversión en ciberseguridad después de la pandemia.

En 2023, el gasto medio en TI de las organizaciones aumentó a 15 millones de euros, y el gasto en seguridad de la información se duplicó, pasando de 0,7 millones de euros a 1,4 millones de euros.

Por cuarto año consecutivo, el porcentaje de equivalentes de tiempo completo (ETC) de TI dedicados a la seguridad de la información ha disminuido del 11,9% al 11,1%. Esta disminución puede reflejar desafíos de contratación, ya que el 32% de las organizaciones (y el 59% de las pymes) tienen dificultades para cubrir puestos de ciberseguridad, en particular aquellos que requieren experiencia técnica. Esta tendencia es especialmente notable si se tiene en cuenta que el 89% de las organizaciones prevén necesitar personal adicional en materia de ciberseguridad para cumplir con la NIS2.

Los nuevos sectores NIS2 tienen un gasto en ciberseguridad comparable al de las entidades de la Directiva NIS existentes, y sus inversiones se centran principalmente en el desarrollo y mantenimiento de capacidades básicas de ciberseguridad. Las áreas emergentes, como la criptografía poscuántica, reciben una atención limitada: solo el 4% de las entidades encuestadas invierte y el 14% planea inversiones futuras.

La mayoría de las organizaciones prevén un aumento único o permanente de sus presupuestos de ciberseguridad para cumplir con la NIS2. Cabe destacar que un número sustancial de entidades no podrán solicitar el presupuesto adicional requerido, un porcentaje que es especialmente alto en el caso de las pymes (34%).

El 90% de las entidades prevé un aumento de los ciberataques el próximo año, en términos de volumen, coste o ambos. A pesar de ello, el 74% centra sus esfuerzos de preparación en materia de ciberseguridad a nivel interno, con una participación mucho menor en iniciativas a nivel nacional o de la UE. Esta brecha subraya un área crítica de mejora, ya que la cooperación transfronteriza eficaz en la gestión de incidentes a gran escala solo puede lograrse en estos niveles superiores.

El nivel general de conocimiento entre las entidades incluidas en el ámbito de aplicación es alentador: el 92% conoce el alcance general o las disposiciones específicas de la Directiva NIS 2. Sin embargo, un porcentaje notable de entidades en ciertos sectores nuevos de la Directiva NIS2 siguen sin conocerla, lo que sugiere la posible necesidad de que las autoridades nacionales competentes realicen más campañas de sensibilización.

Las entidades de los sectores ya cubiertos por la NIS superan a las recién incluidas en la NIS2 en diversas métricas de gobernanza, riesgo y cumplimiento de la ciberseguridad. De manera similar, las entidades de los nuevos sectores de la NIS2 muestran tasas de participación más bajas y más altas en las actividades de preparación en materia de ciberseguridad. Esto pone de relieve el impacto positivo que ha tenido la Directiva NIS en los sectores ya incluidos en el ámbito de aplicación y genera expectativas sobre el impacto que tendrá la NIS2 en los nuevos sectores.