Search
Close this search box.

Directiva NIS 2 para reforzar la ciberseguridad OT

En 2024, una empresa que produce bollos y emplea a 251 personas, con un volumen de negocio de 51 millones de euros, entra en el ámbito de aplicación de la directiva NIS 2. Deberá reforzar su arsenal de ciberseguridad y participar así en un esfuerzo de defensa europeo.

La directiva NIS2 (texto original en español) tiene como objetivo alcanzar una ciber-madurez común en toda la Unión Europea. Y porque la seguridad no se toma a la ligera, en caso de incidente de seguridad y de negativa a colaborar con las autoridades, NIS 2 otorga a los Estados un derecho de instrucción. Las empresas podrán ser sometidas por los estados europeos a multas comprendidas entre el 1,4% y el 2% de su facturación.

Acceso remoto y ciberseguridad

La interconexión de equipos industriales permite una gestión más precisa y reactiva de las operaciones. Sin embargo, también ha abierto la puerta de las empresas a ciberataques en sistemas operativos. Este es un problema crucial, ya que, según algunas estimaciones, entre el 30% y el 40% de los equipos industriales en el mundo ya están conectados a una red. Y esta cifra no deja de aumentar. 

¿Cuáles son los objetivos de la directiva NIS 2?

Los objetivos de la directiva NIS2 son fortalecer la seguridad de las redes y sistemas de información en la Unión Europea. La directiva busca mejorar la cooperación entre los Estados miembros de la UE en materia de ciberseguridad y garantizar un alto nivel de seguridad en todas las redes y sistemas de información de la Unión Europea. Además, la directiva impone obligaciones a los proveedores de servicios digitales y a los operadores de infraestructuras críticas para garantizar la seguridad de sus redes y sistemas de información.

¿Qué sectores están afectados por la directiva NIS 2?

La directiva NIS2 se aplica a una amplia gama de empresas y sectores mucho más amplia que la directiva anterior NIS1. Incluye a las administraciones públicas, el sector espacial, los proveedores de servicios digitales, las redes de aguas residuales y gestión de residuos, servicios postales, alimentos, fabricantes de productos químicos y farmacéuticos, entre otros. Los sectores afectados por NIS2 pasan de 19 a 35.

¿Cuántas empresas están afectadas por la directiva NIS2? ¿EE o EI?

Según el INCIBE (Instituto Nacional de Ciberseguridad) , se estima que al menos 100.000 empresas estarán obligadas a cumplir con la NIS2.

NIS 2 incorpora un mecanismo de proporcionalidad, que distingue dos categorías de entidades reguladas según su nivel de criticidad: las EE (entidades esenciales) y las EI (entidades importantes). Las entidades esenciales se definirán como aquellas que tienen un impacto más significativo en caso de interrupción del servicio que las entidades importantes.

¿Cuándo se implementará la directiva NIS 2?

NIS 2 entrará en vigor en España, a más tardar, en el segundo semestre de 2024. Algunos requisitos serán de aplicación directa y otros deberían cumplirse en un plazo para estar en conformidad. En España, el Instituto Nacional de Ciberseguridad (INCIBE) será responsable de garantizar su cumplimiento.

¿Cómo pueden prepararse las empresas?

Las empresas pueden prepararse para la directiva NIS2 implementando medidas de seguridad para proteger sus sistemas de información y redes. Estas medidas de seguridad incluyen:

Los 10 mandamientos NIS 2 para fortalecer la ciberseguridad: 

  • la implementación de sistemas de detección de intrusiones
  • la actualización regular de software y sistemas operativos
  • la formación del personal en seguridad informática
  • la implementación de planes de continuidad de negocio
  • la segmentación de redes
  • la autenticación fuerte
  • el control de acceso
  • la detección de intrusiones
  • la gestión de vulnerabilidades
  • la resiliencia, etc. 

 

Si la directiva NIS 2 no especifica los estándares a seguir, ENISA (Agencia de la Unión Europea para la Ciberseguridad) publica documentos valiosos sobre las buenas prácticas a seguir.

¿Cómo fortalecer la ciberseguridad industrial?

La adopción de la norma IEC 62443 permite proteger las infraestructuras industriales. Esta norma abarca diferentes aspectos de la seguridad, incluyendo la gestión de riesgos, la política de seguridad, el diseño seguro, la implementación de medidas de seguridad, la vigilancia y el mantenimiento continuo.

Desarrollada por la Comisión Electrotécnica Internacional (IEC), la norma internacional de ciberseguridad industrial IEC 62443 proporciona directrices y recomendaciones para la seguridad de sistemas de control y automatización industriales, especialmente en sectores como la energía, la automatización industrial, el transporte y la industria química.

Consta de varias partes que abordan diversos aspectos de la ciberseguridad industrial, incluyendo: 

IEC 62443-4-1: Requisitos técnicos para sistemas de control industrial 

IEC 62443-4-2: Requisitos técnicos para sistemas de red

Para mejorar la seguridad, S-Connect recomienda las white stations HOGO certificadas por el INCIBE y las soluciones MOXA certificadas por la IEC-62443-4-2 para redes OT.

Para construir una red informática OT conforme a la IEC62443-4-2, S-Connect, por ejemplo, recomienda:

  • los puntos de acceso MOXA AWK-3252A, AWK-4252A y AWK-1151C 
  • routers industriales seguros como el Moxa EDR-9010 que integra un switch administrable de capa 2
  • switches MOXA para montar en carril como el EDS-G4008 o switches industriales de formato rack como el RKS-G4028.