Zscaler, Inc., empresa de seguridad en la nube, advierte sobre los cambios críticos que introduce la directiva NIS2 en el marco regulatorio de ciberseguridad en la Unión Europea (UE), con un impacto directo en fusiones, adquisiciones y desinversiones (M&A/D). Esta directiva, que amplía considerablemente el alcance de la normativa NIS original, se está implementando en la legislación nacional de España y otros países de la UE, afectando a un mayor número de entidades, incluidos sectores estratégicos como energía, salud y telecomunicaciones. Los Estados miembros deben adoptar esta directiva antes del 17 de octubre de 2024.
La directiva NIS2 exige a las empresas fortalecer sus medidas de seguridad cibernética, no solo para cumplir con las nuevas normativas, sino también para protegerse de posibles riesgos durante procesos de M&A. En estos escenarios, las empresas se enfrentan a vulnerabilidades que pueden ser aprovechadas por actores maliciosos. Zscaler destaca que, durante la diligencia debida tecnológica, es imperativo evaluar la postura de ciberseguridad de las organizaciones involucradas, incluyendo la revisión exhaustiva de sus sistemas, procesos y dependencias tecnológicas.
En este sentido, la implementación de una arquitectura de seguridad basada en el modelo zero trust se ha convertido en un componente esencial para asegurar la integridad de las operaciones durante M&A. Este enfoque permite a las compañías reducir la superficie de ataque, proteger datos sensibles y garantizar la continuidad del negocio, independientemente de la complejidad de las transacciones.
Asimismo, Zscaler advierte sobre los peligros de depender de tecnologías heredadas como VPNs y firewalls, que pueden no ofrecer la protección necesaria frente a las amenazas modernas. De hecho, un reciente estudio llevado a cabo por el equipo de investigación de Zscaler, ThreatLabz, ‘Informe de Riesgo VPN 2024’1 (VPN Risk Report), revela que el 56% de las organizaciones encuestadas asegura haber sufrido al menos un ciberataque relacionado con VPN en el último año, lo que resalta la necesidad de adoptar una arquitectura de Zero Trust más sólida.
En el contexto de las desinversiones, donde las empresas venden partes de su negocio, la directiva NIS2 también requiere que las compañías mantengan altos estándares de ciberseguridad para evitar que datos sensibles o propiedad intelectual sean comprometidos. Esto es particularmente relevante en un entorno donde la exposición a riesgos cibernéticos puede tener consecuencias devastadoras.
Para las empresas en España, cumplir con NIS2 no es solo una cuestión de evitar sanciones, sino también de asegurar la confianza de los partners comerciales y del público en general. La compañía de ciberseguridad ofrece soluciones avanzadas que ayudan a las empresas a cumplir con estas nuevas exigencias regulatorias, proporcionando herramientas de seguridad en la nube escalables y eficientes.
Según el informe de riesgos de VPN Zscaler, la responsabilidad principal de NIS2 recae en el área de CIO/CISO (42%) y las áreas de negocio (58%). “La planificación de una desinversión o integración conforme a NIS2 comienza desde el primer día, tanto en el lado comercial como en el de TI. Las responsabilidades deben reflejarse en el modelo operativo a lo largo de todos los procesos comerciales clave, especialmente en el área de la cadena de suministro, donde la transparencia y la mitigación de vulnerabilidades son más difíciles de lograr debido a los entornos dispares”, concluye Dominik Denninger, gerente sénior de fusiones y adquisiciones y desinversiones de TI en Zscaler.
