El 34% de las pymes admite que no podrá acceder a presupuesto adicional para cumplir con la normativa
El último informe de ENISA alerta sobre el déficit de talento y la falta de recursos para afrontar las exigencias de la Directiva NIS2. Kaspersky, dentro de su campaña “Cómo lograr la conformidad con la NIS2”, advierte que muchas empresas aún no tienen estrategia de cumplimiento y, con un enfoque integral, trabaja con entidades reguladas para afrontar la transición a la nueva Directiva europea.
Seis meses después de la entrada en vigor de la Directiva NIS2 en España, una gran parte del tejido empresarial europeo, y especialmente las pequeñas y medianas empresas (pymes), sigue sin estar preparada para cumplir con los nuevos requisitos en ciberseguridad. La falta de estrategia, recursos humanos y planificación está dejando a muchas organizaciones fuera del marco normativo europeo, tal y como señala Kaspersky dentro de su campaña “Cómo lograr la conformidad con la NIS2”.
Según el informe NIS Investments 2024 de ENISA, el 89% de las organizaciones europeas reconoce que necesitará reforzar sus equipos de ciberseguridad, especialmente en arquitectura (46%) y operaciones (40%). Sin embargo, un preocupante 34% de las pymes afirma que no podrá acceder al presupuesto adicional necesario para acometer esta ampliación. Por ello, los expertos de Kaspersky subrayan que el cumplimiento de la NIS2 no depende solo del tamaño del equipo interno, sino de contar con una estrategia eficaz, adaptada y sostenible.
“No todas las empresas pueden permitirse construir un centro de operaciones de seguridad (SOC) ni contratar más personal especializado, pero sí pueden externalizar funciones críticas y reforzar su postura de seguridad sin disparar costes ni depender de ampliaciones de plantilla”, explica José Antonio Morcillo, Head of Channel Iberia de Kaspersky.
NIS2: una normativa ambiciosa en un contexto limitado
La Directiva exige a miles de empresas españolas la adopción de medidas organizativas, operativas y técnicas para gestionar el riesgo digital. No obstante, la capacidad de respuesta no es igual en todos los sectores. “Muchas empresas están enfocadas en contratar más personal, cuando lo prioritario es definir una hoja de ruta clara. En Kaspersky ayudamos a nuestros clientes a convertir NIS2 en una oportunidad para rediseñar su estrategia con eficiencia y visión a largo plazo”, añade José Antonio Morcillo, Head of Channel Iberia de Kaspersky.
Según el informe NIS360 2024 de ENISA, sectores como salud, servicios TIC, administración pública y espacio presentan niveles de madurez cibernética muy por debajo de su criticidad, lo que los sitúa en la “zona de riesgo” regulatoria. Para muchas entidades el problema no es la falta de voluntad, sino la falta de recursos: talento técnico escaso, presupuestos restringidos, estructuras demasiado rígidas para adaptarse rápido.
Para cumplir con los requisitos de la Directiva sin depender de la contratación interna, los expertos de Kaspersky recomiendan las siguientes soluciones que combinan tecnología avanzada, automatización y servicios gestionados:
Kaspersky Security Awareness: programa de formación continua para empleados y directivos, alineado con el Artículo 20.
Kaspersky xTraining: formación técnica especializada para profesionales de ciberseguridad.
Kaspersky Next: solución EDR/XDR escalable para protección de infraestructuras críticas.
Kaspersky MDR: servicio de detección y respuesta gestionada 24/7.
Kaspersky Industrial Cybersecurity (KICS): solución para entornos industriales y sistemas operativos críticos.
Estas soluciones se alinean con los Artículos 20 y 21 de la Directiva, que obligan a las entidades reguladas a gestionar el riesgo con medidas proporcionales, sostenidas y verificables.
Riesgo operativo, reputacional y regulatorio
La falta de preparación ante NIS2 no solo puede conllevar sanciones económicas importantes, sino también interrupciones operativas y pérdida de confianza pública. Kaspersky insiste en que la adaptación a NIS2 no es una cuestión de tamaño, sino de estrategia. No todas las empresas tienen los mismos recursos, pero todas pueden adoptar un modelo de cumplimiento eficaz, modular y escalable.
“Las empresas que no puedan cumplir a tiempo no solo arriesgan una multa. Asimismo, están dejando expuestos servicios esenciales, cadenas de suministro y sistemas interconectados que son críticos para la estabilidad económica y social. La clave está en optimizar recursos, apoyarse en expertos y evitar duplicar estructuras internas”, concluye el Head of Channel Iberia de Kaspersky.
