Estados Unidos suele seguir el ejemplo de la UE en la adopción de normativas de ciberseguridad. Dada la naturaleza global de las amenazas cibernéticas y la creciente interconexión de la infraestructura crítica, podemos esperar que el país norteamericano implemente medidas similares a la Directiva NIS2 en un plazo de 2 a 5 años. Esto incluirá requisitos de ciberseguridad personalizados para industrias de infraestructura crítica como la energía, el transporte, la atención médica y las finanzas. Además, habrá evaluaciones más profundas y mitigaciones de riesgos; informes obligatorios de incidentes; y un mejor intercambio de información entre agencias gubernamentales, la industria y socios internacionales.
Aunque es poco probable que Estados Unidos adopte la misma multa del 2 % de los ingresos de una empresa por incumplimiento, podemos esperar multas y consecuencias sustanciales. Debe haber un incentivo poderoso para el incumplimiento para que las organizaciones realmente tomen nota, prioricen la ciberseguridad e inviertan en las protecciones necesarias.
En 2025, podemos esperar que muchas empresas estadounidenses con operaciones en Europa evalúen más a fondo los requisitos de NIS2 y desarrollen sus estrategias de cumplimiento. Al mismo tiempo, las empresas estadounidenses realizarán evaluaciones de riesgos, desarrollarán planes de respuesta a incidentes, implementarán medidas de protección de datos, actualizarán las políticas y procedimientos de ciberseguridad y, además, colaborarán con consultores de ciberseguridad para las iniciativas de cumplimiento.
Información por industria
- Infraestructura crítica: sectores como la energía, el transporte, la atención médica y las telecomunicaciones se consideran críticos para la seguridad nacional y la estabilidad económica. Una brecha en estas industrias podría tener consecuencias de gran alcance.
- Servicios financieros: los bancos, las compañías de seguros y otras instituciones financieras manejan datos personales y financieros confidenciales, lo que los convierte en objetivos principales para los cibercriminales.
- Agencias gubernamentales: las agencias gubernamentales almacenan y procesan grandes cantidades de información confidencial, incluidos secretos de seguridad nacional y datos personales de los ciudadanos.
- Atención médica: la industria de la atención médica se enfrenta a amenazas cibernéticas cada vez mayores, con atacantes que apuntan a registros de pacientes, dispositivos médicos y sistemas de atención médica.
- Tecnología y comunicaciones: las empresas de los sectores de tecnología y comunicaciones están a la vanguardia de la innovación, pero también enfrentan riesgos cibernéticos únicos debido a su dependencia de la infraestructura digital.
Resiliencia de datos
Este año, veremos un aumento en la frecuencia y gravedad de los ciberataques (junto con la necesidad de medidas de seguridad más consistentes y efectivas), brechas regulatorias y presión pública para impulsar estándares de ciberresiliencia más estrictos y enfoques más sólidos para la resiliencia de datos, la respuesta a incidentes y la recuperación ante desastres dentro del Gobierno de los Estados Unidos. Las industrias que probablemente serán priorizadas incluyen infraestructura crítica, servicios financieros, agencias gubernamentales, atención médica, tecnología y comunicaciones para combatir el aumento.
A su vez, veremos un aumento en las regulaciones en torno a las estrategias obligatorias de respaldo y recuperación específicas para la frecuencia, los períodos de retención y los protocolos de prueba. Esto implica copias de seguridad con espacio de aire almacenadas fuera de línea, sistemas de almacenamiento inmutables y pruebas periódicas de los procedimientos de respaldo y recuperación. También podemos ver como la resiliencia de datos se convierte en una responsabilidad de cumplimiento si los reguladores requieren que las organizaciones implementen planes integrales como parte de sus obligaciones de cumplimiento. En este contexto, sería necesario que incluyan evaluaciones de riesgos, procedimientos de respuesta a incidentes, planificación de recuperación ante desastres y pruebas periódicas para garantizar la efectividad.
