USA

La Directiva NIS2

Europa apuesta por la ciberseguridad.

¿En qué nos afecta?

La Directiva NIS2 es una actualización de la Directiva NIS original, adoptada por la Unión Europea para mejorar la ciberseguridad de los estados miembros.

1. ¿A quién nos afecta?

La NIS2 amplía el alcance, incorporando más sectores.

Sectores fuertemente automatizados como Energía (Gas, Electricidad, Petróleo, Hidrogeno), Químico, Transporte, Aguas, Gestión de Residuos, Paquetería, Alimentación, están particularmente afectados al gestionar redes OT.

2. ¿Cuándo entra en vigor?

La NIS2 fue aprobada en noviembre de 2022, y entró en vigor el 16 de enero de 2023.

Los Estados miembros adoptarán y publicarán las medidas necesarias para cumplir la NIS2 antes del 17 de octubre de 2024.

Entrando en aplicación el 18 de octubre de 2024.

3. Requisitos de Seguridad Más Estrictos

Introduce requisitos de seguridad más rigurosos. Las empresas implementaran medidas técnicas y organizativas adecuadas para gestionar los riesgos de la seguridad IT/OT. Incluye:

  • Evaluaciones de riesgos periódicas.
  • Medidas de seguridad técnica, cifrado y la autenticación multifactorial.
  • Políticas de gestión de incidentes.
  • Capacitación y concienciación en ciberseguridad para el personal.

4. Informar los Incidentes es obligatorios

Es obligatorio realizar la notificación de incidentes. Las empresas deben informar de cualquier incidente que tenga un impacto en la prestación de servicios (esenciales o importantes). Los incidentes serán reportados a su CSIRT en menos de 24 horas.

4. Sanciones Más Severas

Las multas por incumplir la normativa son más severas que en la directiva original. Pueden suponer multas de hasta un 2% de la facturación anual, en base a la gravedad de la infracción y de la capacidad económica de la organización.

5. Colaboración y Compartición de Información

Promueve una mayor colaboración e intercambio de información entre los estados miembros, las empresas y las autoridades nacionales. Las empresas deben prepararse para cooperar con otras entidades para mejorar la protección de las infraestructuras críticas.

6. Evaluaciones de Terceros y Proveedores

Las empresas deben evaluar la ciberseguridad de sus proveedores y terceros. Esto es vital donde la dependencia de proveedores es alta. Garantizar que estos proveedores cumplen con los requisitos de seguridad es esencial para la protección de toda la red.

7. Responsabilidad del Liderazgo Ejecutivo

Los ejecutivos y los consejos de administración deben involucrarse y responsabilizarse de que se implementen y supervisar de las estrategias de ciberseguridad. Se deben asignar los recursos adecuados y la supervisión de políticas y procedimientos de ciberseguridad.

La Directiva NIS2, Europa apuesta por la ciberseguridad

¿Qué podemos hacer?

A grandes rasgos, se debería implementar una serie de medidas básicas de ciberseguridad OT basándonos en la norma IEC62443, para conseguir estos objetivos:

  1. Segmentación de Red: Dividir la red OT en segmentos separados basados en la criticidad de los sistemas, y usar firewalls NGFW para controlar y limitar el tráfico entre los segmentos de red.
  2. Control de Acceso: Implementar políticas estrictas de acceso, solo el personal autorizado puede acceder. Y Utilizar autenticación multifactorial (MFA) para acceso a sistemas críticos.
  3. Monitorización y Detección de Intrusiones: Implementar sistemas de monitorización y detección de intrusiones específicos para entornos OT, que identifiquen actividades anómalas y posibles intrusiones en tiempo real. Y en grandes compañías crear un Centro de Operaciones de Seguridad (SOC) para monitorizar la red OT.
  4. Gestión de Parches y Actualizaciones: Mantener los sistemas OT actualizados con los últimos parches de seguridad, tanto a nivel de Sistema Operativo como aplicaciones OT (Scada, PLCs, etc.). Realizar pruebas exhaustivas antes de aplicar parches en entornos de producción para evitar interrupciones.
  5. Protección contra Malware: Utilizar software antivirus y antimalware en todos los sistemas OT e implementar controles de dispositivos para evitar USB no autorizados.
  6. Copia y Respaldo de Datos: Implementar soluciones de respaldo y copias de seguridad para garantizar la recuperación de la operativa en caso de incidentes.
  7. Cifrado: Cifrar los datos en tránsito y en reposo para proteger la confidencialidad e integridad de la información. Usar protocolos OT seguros como el OPC UA.
  8. Gestión de Incidentes: Desarrollar y ensayar un plan de respuesta a incidentes específico para OT, con procedimientos de identificación, contención, erradicación y recuperación de incidentes, realizando simulacros de ciberataques regularmente.
  9. Educación y Concienciación: Formar al personal en prácticas seguras y en identificación de amenazas informáticas y fomentar una cultura de ciberseguridad dentro de la organización.
  10. Evaluaciones de Riesgo y Auditorías: Realizar evaluaciones de riesgo regulares para identificar vulnerabilidades y amenazas potenciales, llevando a cabo auditorías de seguridad para verificar el cumplimiento de políticas y la efectividad de las medidas de seguridad implementadas.
  11. Seguridad Física: Asegurar las instalaciones estén físicamente protegidas contra accesos no autorizados y implementar controles de acceso físico, como tarjetas de acceso y vigilancia por cámaras.

Conclusión

La Directiva NIS2 es un cambio significativo en la ciberseguridad para las empresas españolas que operan redes OT. Con requisitos más estrictos, un alcance ampliado y sanciones más severas, las organizaciones deben priorizar la conformidad y adoptar una postura proactiva en la gestión de la ciberseguridad.

Desplegar todas las medidas anteriores no es una labor que se pueda realizar en poco tiempo. La recomendación es empezar por las que aportan una mejor relación entre esfuerzo y el beneficio obtenido, y serían:

  • Gestión de Parches y Actualizaciones.
  • Protección contra Malware, antivirus y evitar USB no autorizados.
  • Copia y Respaldo de Datos: realizar copias de seguridad.
  • Seguridad física al sistema.

Debemos recordar que un sistema parcheado a nivel de sistema operativo y aplicaciones industriales es muy poco vulnerable, o las probabilidades de incidentes son muy bajas.

Cada una de esas 11 medidas es una capa de seguridad que añadimos es una capa de seguridad más que añadimos a nuestra protección, evidentemente cuantas mas capas de protección tengas mejor protegido estas.

La implementación efectiva de las medidas de la NIS2 no es solo para evitar sanciones.

Es fortalecer la capacidad de su negocio de sobrevivir a un ciberataque, protegiendo las infraestructuras críticas vitales para la sociedad.

Leopoldo Ferrer

ICS/SCADA Blue Dragon

Share this

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.