nº 1000 - 26 de octubre de 2023
La importancia de la ciberseguridad en sectores críticos
Javier Arnaiz Vidella. Manager Ciberseguridad y Privacidad. ECIJA
Se hace patente un escenario actual en el que el Estado, así como las entidades privadas de sectores específicos, deben proteger sus activos críticos, debido tanto a amenazas externas como internas
En un futuro muy cercano, estas obligaciones se ampliarán, así como su ámbito de aplicación, por la publicación y entrada en plena aplicación de nuevas normativas
El enfoque basado en el riesgo no es una cuestión que sea exclusiva del sector de la ciberseguridad, pero sí que cobra una importancia máxima cuando se aplica en un sistema de gestión, e incluso, en la propia regulación.
La presencia de requisitos específicos por sectores de riesgo en la normativa española y europea de ciberseguridad han supuesto una constante en los últimos años. Esto sumado a que, en los últimos años (e incluso meses) ha habido una publicación intensiva de grandes marcos normativos de la ciberseguridad, tiene como consecuencia directa una evolución en el sector más que necesaria en determinados sectores de riesgo.
Actualmente, la Directiva (UE) 2016/1148 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (Directiva NIS), siendo transpuesta en España por el Real Decreto 12/2018 y su Reglamento de aplicación a través del Real Decreto 43/2021aplica a dos grandes sectores de actividad, los operadores de servicios esenciales y los prestadores de servicios digitales.
Estos grandes marcos aglutinan (i) operadores de sectores que resultan esenciales1 por su funcionamiento para el estado español, como pudieran ser el energético, transporte, sanitario… así como (ii) los prestadores de servicios digitales que desarrollen actividades de mercados o buscadores en línea o productos o servicios en la nube.
Igualmente, en España, el Esquema Nacional de Seguridad (actualizado por el Real Decreto 311/2022, de 3 de mayo) determina obligaciones específicas de seguridad a las Administraciones Públicas (y a sus proveedores), mientras que la Ley 8/2011 por la que se establecen medidas para la protección de las infraestructuras críticas (de manera muy similar a NIS) impone obligaciones a aquellos operadores de servicios críticos para el estado.
Esto es en la actualidad a grandes rasgos, porque en un futuro muy cercano, estas obligaciones se ampliarán, así como su ámbito de aplicación, por la publicación y entrada en plena aplicación de nuevas normativas como:
– La Directiva 2022/2555 NIS2 (que deberá de ser transpuesta, a más tardar el 17 de octubre de 2024 en España2). Teniendo esta Directiva como principales novedades la aplicación a unos sectores más amplios que la normativa actual, unos requisitos de ciberseguridad ampliados a estos sujetos obligados, así como un nuevo marco sancionatorio que eleva el de la Directiva anterior.
– El Reglamento 2022/2554 sobre la resiliencia operativa digital del sector financiero (Reglamento DORA) que será plenamente aplicable a partir del 17 de enero de 2025 a las entidades financieras, obligándolas a aplicar estrictas medidas de gestión de la ciberseguridad, a realizar un enfoque basado en el riesgo y determinar medidas aplicables a sus proveedores.
– La propuesta de Reglamento relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales con una propuesta de medidas de seguridad a aplicar por los productores y desarrolladores de software o productos con algún elemento digital.
– La Directiva 2022/2557 relativa a la resiliencia de las entidades críticas (Directiva CER) que deberá ser transpuesta antes del 17 de octubre de 2024 en España, que trae novedades a la actual Ley 8/2011 de protección de las infraestructuras críticas.
En todo caso, tanto con las normas actuales, como con este paquete de novedades dentro del marco regulatorio de la ciberseguridad, se hace patente un escenario actual en el que el Estado (así como las entidades privadas de sectores específicos), debe de proteger sus activos críticos, debido tanto a amenazas externas como internas.
En estas cuestiones el riesgo se puede apreciar entre el daño que pudieran recibir sus propios ciudadanos, como aquellos que pudieran darse directamente en sus infraestructuras esenciales o críticas.
Ejemplos sobre estos riesgos mencionados existen (por desgracia), numerosos. Con respecto al daño a infraestructura, puede mencionarse el cibersecuestro al ayuntamiento de Sevilla y que está impidiendo que los ciudadanos puedan hacer sus trámites a través de las plataformas del Ayuntamiento. Otro ejemplo es el ciberataque (por el ransomware Ryuk) al Ministerio de Trabajo y al SEPE en el año 2021.
Por parte de entidades privadas, estos días se ha dado a conocer que Air Europa ha sufrido un ataque que ha dejado al descubierto datos de tarjetas de pago de sus clientes, incluyendo el número de tarjeta, el código CVV y su caducidad.
Ya a nivel mundial, el ciberataque más sonado de las últimas fechas lo sufrió 23andMe, empresa que realiza test genéticos, mediante el cual se filtraron millones de datos genéticos de sus clientes.
Un marco mínimo de requisitos de ciberseguridad
En definitiva, estos ataques y riesgos para los ciudadanos y las infraestructuras nacionales han tenido como consecuencia la evolución normativa en lo respectivo a ciberseguridad, pero siempre acompañada de medidas más estrictas para aquellos sectores y/o tipologías de entidades que mayor impacto pueden suponer a la sociedad.
El futuro gira en torno a un marco mínimo de requisitos de ciberseguridad (más elevado que el actual) que aportarán normativas transversales y unos requisitos específicos por sector que lo eleven.
Sectores como el bancario, energético, sanitario o el relacionado con las administraciones públicas están siendo aquellos que, históricamente y que, en la actualidad, más requisitos les son exigidos por las normativas.
No obstante, sectores más novedosos (digitales) están siendo y serán objetos de dicha regulación, exigiendo cada vez más requisitos en materia de ciberseguridad.
No cabe duda de que, de aquí a un plazo corto, se impondrá como práctica mínima del sector estos requisitos de ciberseguridad (aunque en realidad, gran parte de ellos ya son aplicables), siendo obligatorio, ya no solo por la normativa, sino por los propios actores del mercado (relación cliente-proveedor) que se cumpla con dicho estándar.
Una situación que, sin duda, favorece a todas las entidades, y los más importante a los ciudadanos, que son quienes son, por desgracia, los que sufren y sufrirán las consecuencias directas de estos ciberataques. ■
1. Entendiendo como esencial, según el RD 12/2018 el servicio necesario para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas, que dependa para su provisión de redes y sistemas de información.
2. Estando ya la trasposición en ---.