Este informe tiene como objetivo proporcionar a los responsables políticos evidencia para evaluar la efectividad del marco de ciberseguridad de la UE existente, específicamente a través de datos sobre cómo la Directiva NIS ha influido en las inversiones en ciberseguridad y en la madurez general de las organizaciones dentro de su ámbito. Dado que 2024 es el año de la transposición de la NIS 2, el informe también busca capturar una instantánea pre-implementación de las métricas relevantes para los nuevos sectores y entidades dentro del ámbito de la NIS 2, con el fin de facilitar futuras evaluaciones del impacto de la NIS 2. Esta quinta edición del informe presenta datos de 1.350 organizaciones de los 27 Estados miembros de la UE, cubriendo todos los sectores de alta criticidad de la NIS 2, así como el sector manufacturero. Dado que los últimos años se han caracterizado por una proliferación del marco de políticas de ciberseguridad de la UE con la introducción de legislación clave horizontal (CRA) y sectorial (DORA, NCCS), el informe ofrece información sobre la preparación de las entidades para cumplir con estos nuevos requisitos, así como sobre los desafíos que enfrentan. Además, se realizó un análisis sectorial detallado para las entidades de los sectores de Infraestructura Digital y Espacio. La Directiva NIS 2, que, durante el tiempo de este estudio, está siendo transpuesta en toda la UE, representa una actualización significativa de la anterior Directiva NIS. Amplía el ámbito de la Directiva NIS para cubrir un rango más amplio de organizaciones e impone requisitos de ciberseguridad más estrictos. Estos cambios probablemente tendrán un impacto significativo en cómo las entidades dentro de su ámbito asignan sus presupuestos de ciberseguridad y gestionan sus riesgos. A medida que avanza la implementación de la Directiva NIS 2, será esencial monitorear su efectividad y evaluar su impacto en la postura de ciberseguridad de las organizaciones en toda la UE. La información proporcionada en este informe puede servir como base valiosa para futuros análisis e informar las decisiones políticas relacionadas con la ciberseguridad.
Para asegurar resultados representativos, se encuestaron un total de 1.350 organizaciones en los 27 Estados miembros de la UE, es decir, 50 organizaciones por Estado miembro. Este informe recoge datos de entidades ya dentro del ámbito de la Directiva NIS, así como de entidades que estarán dentro del ámbito de la NIS 2. Los términos «organizaciones» o «entidades» se utilizan a lo largo de los capítulos 3 a 9 para referirse a las entidades encuestadas. Para este estudio, se han encuestado entidades de todos los sectores de alta criticidad y del sector manufacturero. El informe de este año también proporciona un análisis más profundo para las entidades de los sectores de Infraestructura Digital y Espacio. El público objetivo de este informe son los responsables políticos de la UE y nacionales. Forma parte de una serie diseñada para producir conjuntos de datos históricos que rastreen el desarrollo de indicadores clave, como los presupuestos de seguridad de la información (IS), a lo largo del tiempo. Estos informes también evalúan cómo las políticas influyen en estos indicadores, proporcionando información y evidencia para informar decisiones políticas. Este trabajo forma parte de las actividades del Observatorio de Políticas de Ciberseguridad (CSPO) de ENISA.
La falta de profesionales cualificados crea desafíos para que las organizaciones cumplan con sus objetivos de ciberseguridad, lo que afecta a la resiliencia general de la seguridad. Muchas de ellas ahora enfrentan retrasos en la implementación de medidas de seguridad esenciales, lo que aumenta su exposición a las amenazas cibernéticas. La brecha de habilidades digitales representa un desafío particularmente grave para las pequeñas y medianas empresas (PYMEs), con casi la mitad de ellas indicando que la falta de experiencia interna en ciberseguridad las deja vulnerables a incidentes cibernéticos. Investigaciones recientes destacan que áreas específicas de habilidades en ciberseguridad, como la respuesta a incidentes, la seguridad en la nube y la seguridad de aplicaciones, son las más difíciles de cubrir. Además, la creciente demanda de experiencia en inteligencia artificial (IA) y aprendizaje automático dentro de la ciberseguridad ha creado importantes brechas de habilidades, con muchas organizaciones incapaces de encontrar candidatos cualificados. Estas escaseces se ven agravadas por los rápidos avances tecnológicos y el cambio hacia sistemas basados en la nube, lo que aumenta la complejidad para los equipos de seguridad. Un 76 % de los empleados en roles de ciberseguridad carecen de calificaciones formales o capacitación certificada, lo que crea brechas críticas de habilidades en la fuerza laboral. Estos factores subrayan la necesidad de esfuerzos de formación y certificación más dirigidos para fortalecer la resiliencia en ciberseguridad a través de las organizaciones.
El uso creciente de aplicaciones empresariales que incorporan indicaciones respaldadas por Modelos de Lenguaje de gran escala (LLMs) comerciales o propietarios amplía la superficie de ataque de una organización, creando nuevos puntos de entrada para los actores de amenazas. Este cambio destaca la importancia de la adopción segura y ética de la IA, dado que los LLMs introducen riesgos únicos, como la susceptibilidad a inyecciones de indicaciones y manipulaciones adversariales. A medida que las organizaciones exploran estas herramientas avanzadas, se vuelve esencial establecer protocolos de seguridad sólidos y directrices éticas para la integración de la IA, con el fin de mitigar amenazas potenciales y garantizar un despliegue seguro. Un informe reciente destaca que, aunque muchas organizaciones reconocen los riesgos asociados con la IA, solo dos tercios han implementado una estrategia documentada para abordarlos. Además, un preocupante 80% de las organizaciones aún no han realizado auditorías de sus proveedores externos en cuanto a vulnerabilidades relacionadas con la IA, lo que subraya una brecha crítica en la gestión proactiva de riesgos.
Un informe de 2024 revela que el costo promedio de una violación de datos ha aumentado a 4,4 millones de euros, lo que supone un aumento del 10 % respecto al año anterior. Esta cifra incluye una serie de gastos, como ingresos perdidos, deserción de clientes, esfuerzos de recuperación y sanciones regulatorias. Los datos sectoriales muestran que el sector de la salud sigue siendo el más afectado, con un costo promedio de las violaciones que ronda los 8,4 millones de euros. A nivel regional, Estados Unidos lidera globalmente con un costo promedio de violación de aproximadamente 8,4 millones de euros, mientras que dentro de la UE, Benelux registra el costo promedio más alto con 5,3 millones de euros, seguido por Alemania con 4,8 millones de euros e Italia con 4,3 millones de euros. Un factor importante que contribuye a las violaciones de datos es el «datos sombra» o datos ocultos, que representan casi un tercio de todas las violaciones. Este tipo de datos, almacenados en fuentes no gestionadas y a menudo dispersos en múltiples sistemas y dispositivos, son difíciles de rastrear y asegurar. En consecuencia, las violaciones que involucran datos sombra suelen ser más costosas y difíciles de resolver. Además, el informe destaca que el 46 % de las violaciones involucran información personal identificable (PII) de los clientes, el 43 % está dirigida a propiedad intelectual (IP) y el 37 % involucra PII de los empleados, lo que subraya la variedad de datos sensibles comúnmente en riesgo durante los incidentes. Además, el error humano sigue jugando un papel importante en las violaciones de datos, con un 68 % de los incidentes en 2024 atribuidos a dichos errores, lo que es consistente con años anteriores.
El phishing sigue siendo una amenaza extendida; durante los ejercicios de simulación, el 20 % de los usuarios reportaron intentos de phishing y, de esos, el 11 % aún hizo clic en los enlaces maliciosos. Es notable que el tiempo medio para que un usuario haga clic en un enlace malicioso es de solo 21 segundos después de abrir un correo electrónico de phishing, con otros 28 segundos para ingresar sus datos. Esta respuesta rápida destaca la necesidad de un entrenamiento continuo en conciencia de seguridad para mitigar los riesgos del phishing y el error humano, que pueden provocar violaciones en menos de un minuto. Este estudio se basa en una encuesta de mercado dedicada realizada entre 1.350 organizaciones, con 50 organizaciones encuestadas en cada Estado miembro. Los datos de esta encuesta se han recopilado mediante entrevistas telefónicas dedicadas con expertos en ciberseguridad y gerentes de esas organizaciones, siguiendo un cuestionario diseñado específicamente para el estudio e incluyendo tanto preguntas cuantitativas en las que se solicitan estimaciones generales o cifras aproximadas como preguntas cualitativas cerradas.
Para leer más ingrese a:
https://www.enisa.europa.eu/publications/nis-investments-2024
https://www.enisa.europa.eu/publications/nis-investments-2024/@@download/fullReport