La Agencia de la Unión Europea para la Ciberseguridad (ENISA) ha publicado el informe ‘Inversiones del NIS 2024’ (NIS Investments), que tiene el objetivo de ayudar a los responsables de las políticas a evaluar el impacto del actual marco de ciberseguridad de la UE, y en particular la Directiva NIS 2, sobre las inversiones en ciberseguridad y la madurez general de las organizaciones en su ámbito.
El documento proporciona información clave sobre cómo las organizaciones dentro del ámbito de aplicación de la Directiva NIS 2 asignan sus presupuestos de ciberseguridad, desarrollan sus capacidades y maduran de acuerdo con las disposiciones de la Directiva NIS 2, al tiempo que exploran las tendencias globales de ciberseguridad, los desafíos de la fuerza laboral y el impacto de la inteligencia artificial (IA).
Además, el informe proporciona información sobre la preparación de las entidades para cumplir con los nuevos requisitos introducidos por la legislación horizontal clave (por ejemplo, CRA) y sectorial (por ejemplo, DORA o NCCS), al tiempo que explora los desafíos que enfrentan.
Resultados del informe Inversiones del NIS 2024
La edición de 2024 presenta una mejora significativa en comparación con las versiones anteriores, ya que amplía la muestra de la encuesta para incluir sectores y entidades que están dentro del alcance de la NIS 2.
Se recopilaron datos de 1.350 organizaciones de todos los Estados miembros de la UE que abarcan todos los sectores NIS2 de alta criticidad, así como el sector manufacturero. Los resultados muestran que la seguridad de la información representa ahora el 9% de las inversiones en TI de la UE, un aumento significativo de 1,9 puntos porcentuales con respecto a 2022, lo que marca el segundo año consecutivo de crecimiento de la inversión en ciberseguridad.
En 2023, el gasto medio en TI de las organizaciones aumentó a 15 millones de euros, y el gasto en seguridad de la información se duplicó, pasando de 0,7 millones de euros a 1,4 millones de euros.
Por cuarto año consecutivo, el porcentaje de equivalentes de tiempo completo (ETC) de TI dedicados a la seguridad de la información ha disminuido del 11,9% al 11,1%. Esta disminución puede reflejar desafíos de contratación, ya que el 32% de las organizaciones (y el 59% de las pymes) tienen dificultades para cubrir puestos de ciberseguridad, en particular aquellos que requieren experiencia técnica. Esta tendencia es especialmente notable si se tiene en cuenta que el 89% de las organizaciones prevén necesitar personal adicional en materia de ciberseguridad para cumplir con la NIS2.
Inversión en ciberseguridad
Los nuevos sectores NIS2 tienen un gasto en ciberseguridad comparable al de las entidades de la Directiva NIS existentes, y sus inversiones se centran en el desarrollo y mantenimiento de capacidades básicas de ciberseguridad. Las áreas emergentes, como la criptografía poscuántica, reciben una atención limitada, solo el 4% de las entidades encuestadas invierte y el 14% planea inversiones futuras.
La mayoría de las organizaciones prevé un aumento único o permanente de sus presupuestos de ciberseguridad para cumplir con la NIS 2. Cabe destacar que un número sustancial de entidades no podrán solicitar el presupuesto adicional requerido, un porcentaje que es especialmente alto en el caso de las pymes (34%).
El 90% de las entidades prevé un aumento de los ciberataques el próximo año, en términos de volumen, coste o ambos. A pesar de ello, el 74% centra sus esfuerzos de preparación en materia de ciberseguridad a nivel interno, con una participación mucho menor en iniciativas a nivel nacional o de la UE.
Conocimiento de la Directiva NIS 2
El nivel general de conocimiento entre las entidades incluidas en el ámbito de aplicación es alentador. El 92% conoce el alcance general o las disposiciones específicas de la Directiva NIS 2. Sin embargo, un porcentaje notable de entidades en ciertos sectores nuevos de la Directiva NIS 2 siguen sin conocerla, lo que sugiere la posible necesidad de que las autoridades nacionales competentes realicen más campañas de sensibilización.
Las entidades de los sectores ya cubiertos por la NIS superan a las recién incluidas en la NIS 2 en diversas métricas de gobernanza, riesgo y cumplimiento de la ciberseguridad. De manera similar, las entidades de los nuevos sectores de la NIS 2 muestran tasas de participación más bajas y más altas en las actividades de preparación en materia de ciberseguridad. Esto pone de relieve el impacto positivo que ha tenido la Directiva NIS en los sectores ya incluidos en el ámbito de aplicación y genera expectativas sobre el impacto que tendrá la NIS 2 en los nuevos sectores.