Antonio Ramos, 'executive manager' de Leet Security.
Antonio Ramos Executive Manager Leet Security

NIS2 y la cadena de suministro: hablemos del ‘dumping’ en ciberseguridad

Gobernanza digital

Posiblemente, los más técnicos estén ahora pensando en volcados de memoria, de credenciales o cosas similares y preguntándose qué tiene que ver el dumping con la Directiva NIS2 o la  cadena de suministro.

Pero es que el dumping del que quiero hablaros es otro muy diferente. Según la Wikipedia, el dumping se define como «la venta a pérdida» y es una práctica de competencia desleal, ya que si se «vende por debajo del precio normal o a precios inferiores al coste» se consigue «eliminar la competencia y adueñarse del mercado». Seguro que al lector le suena por las no muy lejanas declaraciones de Renfe acusando a sus competidores en la larga distancia de vender bajo coste. Y es que, aunque condenable, es una práctica que no está prohibida.

En particular, quería centrarme en el dumping que, en ocasiones, se produce entre países. Quizás el caso más famoso en Europa lo vivimos en materia fiscal con el modelo impositivo tan favorable que Irlanda ha estado aplicando a las empresas tecnológicas (impuesto societario del dos por ciento frente al 35 por ciento en España), que ha significado que la mayoría de las sedes europeas de estas empresas se instalasen en suelo irlandés, con la consiguiente atracción de fondos, personal y actividad alrededor de dichas sedes corporativas. En resumen, esta práctica, denominada dumping fiscal, consiste en ofrecer una fiscalidad significativamente más baja que la media del entorno con el objetivo de atraer inversiones, empresas y contribuyentes.

‘Dumping’ en seguridad

Entonces, ¿Qué es eso del dumping en ciberseguridad? Pues la situación que estamos viviendo en Europa en relación con la trasposición de la Directiva NIS2. Se suponía que uno de los objetivos con los que nacía esta normativa era el de «establecer un nivel elevado y común de ciberseguridad en toda la Unión Europea, reforzando la resiliencia de sectores críticos […]». Pero lo que estamos viendo en realidad es que cada país hace la guerra por su cuenta intentando cumplir con la directiva, aunque a su juicio, sin perjudicar a sus empresas con el establecimiento de un marco de medidas de seguridad demasiado exigente que implique inversiones relevantes, afectando a su cuenta de resultados y, por tanto, perjudicando la competitividad de dichas empresas en una economía internacional altamente interconectada (a pesar de algunos).

Así vemos, por ejemplo, que los requisitos establecidos en países como Bélgica o Italia son bastante reducidos; y eso ha conducido a que países como España, que partíamos de un enfoque mucho más exigente (recordemos que se hablaba de Esquema Nacional de Seguridad, ENS, categoría media-alta), ahora el planteamiento sea que incluso con un ENS categoría básica y alguna medida adicional (perfil de protección) sea suficiente.

En mi opinión, este tipo de situaciones deja en muy mala situación a Europa a la hora de posicionarnos como un player global, pero no deja de reflejar la realidad, y aleja esa quimera inicial de establecer un nivel elevado y común de ciberseguridad (al menos hasta que se publique el Reglamento NIS3).

Al margen de consideraciones geopolíticas y desde una perspectiva puramente de especialistas en ciberseguridad, tenemos que aceptar que la Directiva NIS2 no va a suponer un empuje significativo en el incremento de las medidas de seguridad de las empresas afectadas. El motivo radica en que las administraciones no están entendiendo que la mejora en ciberseguridad supone que las empresas que incrementen su nivel de capacidades estarán mejor preparadas para competir en un escenario de continua amenaza y que, de hecho, se están asegurando su futuro con dicha mejora. La versión que sigue triunfando es la cortoplacista, que se fija solo en el efecto sobre la competitividad.

Cadena de suministro

Pero dicho esto, no está todo perdido. Hace algunas semanas se publicaba en la página del Foro Nacional de Ciberseguridad el documento tituladoAnálisis y Propuestas Relativas a la Seguridad de la Cadena de Suministro, en el que he tenido la oportunidad de participar como editor junto a mi colega Pedro Pablo López.

En este documento se analiza cómo se puede mejorar el enfoque de la gestión del riesgo de la cadena de suministro a la luz de los crecientes requisitos en esta materia y, en particular, de la Directiva NIS2.

El diagnóstico de partida se resume en estos siete puntos:

  • La imposibilidad de que los usuarios supervisen a todos sus proveedores de servicio.
  • La ausencia de un mecanismo de certificación global aplicable a todos los casos de uso.
  • La ausencia de requisitos obligatorios para los proveedores de servicios.
  • Una regulación segmentada.
  • La ausencia de mecanismos de evaluación variados.
  • La dificultad para evaluar toda la cadena de suministro de los proveedores.
  • Las dificultades existentes para que los proveedores sean auditados en términos de seguridad contractual y para implementar acciones correctivas ante las debilidades detectadas.

La Directiva NIS2 no va a suponer un empuje significativo en el incremento de las medidas de seguridad de las empresas

Tras analizar las alternativas de las que disponen las empresas (certificación, calificación, auditorías, supervisión de la Administración Pública y declaraciones de conformidad), el consenso al que llegó el grupo de especialistas que han desarrollado el documento es que la solución pasa por adoptar una «estrategia similar a la utilizada en otros sectores de actividad»: establecer un conjunto de medidas mínimas de seguridad exigibles a todos los actores, junto con la obligación de transparencia respecto a las medidas de seguridad implementadas en los servicios y productos comercializados.

Pero no está todo perdido. Si como resultado de la trasposición de la directiva acabamos con unos requisitos mínimos exigibles para todos −ese ENS de categoría baja con un perfil de protección−, solo faltaría incluir en la trasposición la obligación de transparencia para completar la ecuación propuesta por el Foro Nacional de Ciberseguridad.

Mientras tanto, algunas empresas pioneras ya han decidido dar ese paso de motu proprio y mostrar el nivel de capacidades de ciberseguridad implementadas en sus servicios mediante el registro público de calificaciones de ciberseguridad que ofrece  Leet Security.

En este sentido cabe preguntarse si, ante un servicio crítico para tu organización, ¿te vas a conformar con unas mínimas medidas o quieres asegurar que el nivel sea, al menos, como el tuyo propio?