La Directiva 2022/2555 del Parlamento Europeo y del Consejo (NIS2), es un claro reflejo de la evolución de las necesidades en materia de seguridad en la Unión Europea. La reciente aprobación del anteproyecto de Ley de transposición al ordenamiento nacional de dicha directiva (Ley de Coordinación y Gobernanza de la Ciberseguridad) es un paso más en el camino hacia un ecosistema regulatorio que cada vez afecta a más tipos de Organizaciones. En particular, esta nueva legislación afectará a sectores que, en general, no han tenido tanta carga normativa hasta ahora, como son el industrial y el de la energía. A partir de la entrada en vigor de la mencionada Ley, estas entidades deberán cumplir con una serie de requisitos técnicos y organizativos que, además de garantizar el cumplimiento legal en ciberseguridad, serán una oportunidad para mejorar la protección de sus redes y sistemas de información ante los temidos ciberincidentes. La reducción de riesgos de ciberseguridad, al ser un factor relacionado con la disponibilidad de la operación, es una métrica directamente relacionada con la eficiencia y, en última instancia, con la sostenibilidad.
Esta legislación incluye el análisis de riesgos como pieza central. En este sentido, el primer paso es identificar los activos que componen los sistemas y redes bajo el ámbito de aplicación, seguido de un análisis de madurez y riesgos para continuar con la definición del plan que cubra los gaps de cumplimiento y mitigue los riesgos. La tecnología de inventariado de activos en entornos operacionales (OT) y puede ser una buena aliada en esta fase. El plan podrá incluir, entre otras medidas, soluciones de protección de infraestructura, monitorización de vulnerabilidades y procedimientos de gestión y notificación de ciberincidentes.
Por otro lado, el control de la cadena de suministro es otro elemento esencial en NIS2. En el sector industrial y energético particularmente, los proveedores son un flanco débil, muchas veces debido a deficiencias en accesos lógicos a los sistemas/redes y a los accesos físicos de sus clientes. La combinación de una adecuada gobernanza y tecnología de protección, monitorización y respuesta ante eventos de estos accesos de terceros es la clave de la gestión de terceros.
En definitiva,
- una nueva legislación en cuyo ámbito de aplicación estarán muchas empresas del sector energético y sus suministradores,
- una oportunidad para reducir las potenciales brechas de seguridad que afectarán al servicio,
- un amplio abanico de soluciones tecnológicas avanzadas para ayudar al cumplimiento.
Babel
Consultora de ciberseguridad
