El informe anual de NIS Investments presenta los resultados de una encuesta realizada por ENISA para explorar cómo la política de ciberseguridad se traduce en la práctica entre organizaciones de la UE y sus efectos en sus inversiones, recursos y operaciones. El objetivo del informe es proporcionar a los responsables políticos y profesionales nacionales y de la UE información sobre cómo se implementan las políticas de ciberseguridad de la UE en las organizaciones y dónde existen desafíos.
La edición de este año ha sido rediseñada para centrarse en la historia que cuentan los datos y se ha construido en torno a los conocimientos clave.
Este año, la encuesta se llevó a cabo en 1080 organizaciones públicas y privadas de todos los Estados miembros y abarcó todos los sectores y subsectores de alta criticidad bajo la Directiva NIS2. La Directiva NIS2 es una piedra angular de los esfuerzos de la Unión Europea para garantizar un alto nivel común de ciberseguridad en todos los Estados miembros, reforzando las normas para proteger mejor los sectores críticos. La muestra de la encuesta de este año incluyó un 83% de grandes empresas y un 17% de pymes, lo que permite obtener una visión comparativa entre diferentes tipos de organizaciones.
Para un análisis exhaustivo de los datos recogidos a través de esta encuesta, se ha publicado un complemento específico junto al informe. Este complemento contiene dos vistas separadas del conjunto de datos: una vista por Estado miembro y una vista sector por sector.
A continuación se resumen los principales detalles del informe de este año:
1. El enfoque de la inversión cambia de las personas a la tecnología y los servicios
Aunque las organizaciones han mantenido la inversión en ciberseguridad en niveles comparables al del año pasado (9% de los presupuestos de TI; mediana de 1,5 millones de euros), el gasto se dirige cada vez más a la tecnología y la externalización en lugar de ampliar los equipos internos de ciberseguridad.
2. La escasez de talento cibernético no muestra signos de alivio
Persisten dificultades para atraer (76%) y retener (71%) a profesionales de ciberseguridad, agravadas por la escasez de profesionales cualificados y la feroz competencia por el talento limitado. La alta rotación refuerza aún más esta brecha, aumentando el riesgo y reconfigurando las estrategias de personal.
3. El cumplimiento es el principal motor de inversión, pero no el único resultado
El cumplimiento normativo sigue siendo el principal motor de la inversión en ciberseguridad (70%), pero sus beneficios van más allá de la regulación. Estas inversiones han reforzado la gestión de riesgos (41%), la detección (35%) y la respuesta (26%). De cara al futuro, las organizaciones planean centrarse más en la actualización de herramientas, la mejora de las capacidades de recuperación y el desarrollo de habilidades internas, lo que indica que la política está orientando el progreso en la dirección correcta.
4. El NIS2 está elevando el listón, pero su implementación sigue siendo un desafío
Aunque NIS2 está impulsando a las entidades a fortalecer algunas de las áreas más exigentes pero esenciales de la ciberresiliencia, su implementación es ampliamente percibida como un desafío. Las organizaciones informan de parches (50%), continuidad del negocio (49%) y gestión de riesgos en la cadena de suministro (37%) como áreas clave de dificultad. Las diferencias en el tamaño de las organizaciones apuntan a desafíos claros, por ejemplo, para entidades más grandes, enfoques y caminos armonizados para la transición de la tecnología tradicional a la moderna. Para las pymes, la orientación accesible, las herramientas asequibles (incluidos servicios gestionados y en la nube) y el desarrollo de habilidades siguen siendo los principales retos.
5. El parcheo sigue tardando meses; muchos aún no ponen a prueba su seguridad
La actualización oportuna y las evaluaciones regulares siguen siendo un reto incluso en medio de esfuerzos regulatorios. Casi 1 de cada 3 organizaciones de distintos sectores no ha realizado una evaluación de ciberseguridad en los últimos 12 meses, mientras que el 28% tarda más de tres meses en parchear vulnerabilidades críticas. Esto es especialmente difícil para las pymes, donde tanto las pruebas (63%) como el parcheo (51%) presentan desafíos persistentes. Dado que la explotación de vulnerabilidades es un punto de acceso líder por intrusión, la aplicación de parches e implementación de las disposiciones de la Ley de Ciberresiliencia para avanzar en la ciberseguridad y la resiliencia siguen siendo críticas en toda la UE.
6. Riesgo en la cadena de suministro: controles más fuertes, mayor dependencia
Aunque la gestión del riesgo en la cadena de suministro está mejorando, la creciente dependencia de servicios de TIC y seguridad externalizados introduce nuevas vulnerabilidades, especialmente cuando los proveedores son pymes con recursos limitados. Reflejando esto, los compromisos en la cadena de suministro y los terceros son la segunda preocupación más citada para el futuro (47%). Esto está en línea con la tendencia clave del informe ENISA Threat Landscape, que muestra un aumento en la detección de dependencias cibernéticas, con los ciberdelincuentes dirigiéndose cada vez más a proveedores externos.
7. El DoS causó el ruido, el ransomware causa las pesadillas
Aunque los ataques DoS son los que más presión ponen en las operaciones diarias, el ransomware (55%), los ataques a la cadena de suministro (47%) y el phishing (35%) dominan las preocupaciones organizativas de cara al futuro. La preparación es desigual, con las pymes reportando la menor confianza en su capacidad para anticipar, resistir y recuperarse de incidentes cibernéticos en todos los escenarios.
