Los sectores estratégicos son aquellos cuya importancia es esencial para el correcto funcionamiento y desarrollo de un país o región, muy en particular, desde el punto de vista de la ciberseguridad, la economía y, en definitiva, el bienestar social. En un contexto cada vez más global y competitivo, las compañías se embarcan en una transformación digital constante y sitúan a la tecnología en el núcleo de sus procesos de negocio.
Los ciberataques a sectores estratégicos y esenciales concretos se han convertido en una herramienta muy poderosa, que permite a los criminales maximizar el resultado con una inversión residual frente al coste que supondría realizarlo de forma tradicional. En los últimos años, el nivel de complejidad e impacto de los incidentes relacionados con empresas e infraestructuras críticas ha crecido de forma exponencial. Sectores de todo tipo están siendo víctimas de grupos organizados de ciberdelincuentes que no muestran ningún tipo de interés o empatía por el daño que puedan llegar a causar.
Al margen de las motivaciones, que pueden ser económicas, geopolíticas o de cualquier otra naturaleza, el hecho es que los países y empresas responsables deben trabajar en mejorar los mecanismos de protección y resiliencia de todo el sector estratégico empresarial. Por ello, Incibe trabaja, desde hace varios años, en un formato muy exitoso de colaboración público-privada, modelando la medición de ciberresiliencia de todo el ciclo de vida de la resistencia frente a amenazas, ciberataques y ciberriesgos: anticipar, detectar, prevenir, proteger, responder, mitigar y recuperar.
Legislación en ciberseguridad
Desde una perspectiva europea, la Directiva NIS (Network and Information Security), UE 2016/1148, tiene como principal objetivo mejorar la ciberseguridad de cada uno de los Estados miembros, y está focalizada en los operadores esenciales de sectores como el financiero, salud, transporte, energía y proveedores de servicios digitales. La nueva Directiva NIS 2, UE 2022/2555, amplía y refuerza los controles necesarios para seguir incrementando la resiliencia de la UE.
Actualmente en fase de transposición al régimen jurídico español, donde Incibe participa activamente a través del grupo de trabajo correspondiente, la norma derivada de la NIS 2 entrará en vigor a finales del año 2024 e incrementará de forma significativa el número de sectores estratégicos, así como el número de entidades que deberán cumplir con la nueva legislación. Algunas de las novedades más importantes, además de las ya descritas, son:
- Mejora la coordinación y cooperación entre países miembros.
- Refuerza los requisitos relativos a la notificación y gestión de ciberincidentes.
- Promueve la colaboración público-privada.
- Refuerza el rol del responsable de seguridad de las compañías.
- Aumenta el control y la responsabilidad en todo el ámbito relacionado con la cadena de suministro y la relación con proveedores.
- Mejora la integración con otras normativas sectoriales, como pueden ser la DORA (Directiva para la Resiliencia Operativa Digital para el Sector Financiero) y la CER (Directiva de Resiliencia de Entidades Críticas).
La NIS 2 amplía y refuerza los controles para incrementar la resiliencia de la Unión Europea
Además de NIS 2, DORA y CER, existen otras normas, directivas y regulaciones cyber como la CRA (Cyber Resilience Act), CSoA (Cyber Solidarity Act), Ley de Inteligencia Artificial (IA), más otras que aparecerán relativas a tecnologías emergentes que conviene tener en cuenta y que implicarán otros retos y oportunidades, además de reforzar la soberanía digital europea.
En esencia, una vez aplicadas, dispondremos de unos Estados miembros más seguros y, por tanto, una Unión Europea más sólida y competitiva, preparada para afrontar, no solo la constante transformación digital, sino también los complejos escenarios geoestratégicos que plantea el futuro.
No podemos obviar, no obstante, el coste inicial que la adopción de estas normas va a suponer para muchas de las organizaciones implicadas, dependiendo del grado de seguridad ya desarrollado y sus diferentes niveles de madurez. Más allá del ejercicio necesario para entender y adaptarse a la nueva regulación, es conveniente enfocar el cambio desde una perspectiva positiva, que dará sus frutos, sin duda, a corto, medio y largo plazo, con un claro retorno de la inversión, tanto pública como privada. En ese sentido, la respuesta de Incibe ha sido potenciar su CERT mediante la creación de un área específica, denominada ‘Sectores estratégicos’, cuya misión es anticiparse a los problemas y necesidades de las entidades privadas españolas, en materia de ciberseguridad, a través de la sectorización, refuerzo y ampliación de todos los servicios prestados por Incibe-CERT.
El área de Sectores Estratégicos del CERT de Incibe contempla sectores que son de gran importancia para España
Sectores estratégicos
El área de Sectores Estratégicos del CERT de Incibe está compuesta por varias verticales que abarcan la totalidad de sectores de ámbito privado descritos en la nueva NIS 2, como son, entre otros, energía, agua, transporte, espacio, financiero, salud, alimentación y proveedores de servicios digitales.
Pero, además, se han contemplado aquellos sectores que, aun no apareciendo en la directiva, son de una gran importancia para España, como el turismo, con una contribución de un 13 por ciento al PIB nacional; la cadena de suministro; o los despachos profesionales; con una gran transversalidad e importancia en la economía española. Cabe destacar que, con la transposición, podría aumentar el número de sectores implicados.
En cualquier caso, Incibe tiene como misión principal incrementar la seguridad de España, ofreciendo servicios de ciberseguridad a todos sus públicos objetivos, que son los ciudadanos y las empresas privadas. Por ello, vamos a seguir trabajando para especializar, sectorizar y ofrecer un servicio público, completamente gratuito y de calidad a cualquier entidad que lo necesite, esté o no en un sector regulado.
¡Sigue leyendo!
Aquí te hemos mostrado tan solo una parte de este artículo.
¿Quieres leer el contenido completo?