El Reglamento de Ciberseguridad (Cibersecurity Act) supone un cambio importante en el papel de ENISA. ¿En qué sentido cree que esto será positivo en términos de protección de infraestructuras críticas?
La Cibersecurity Act contiene dos elementos principales: uno es el mandato y las funciones de ENISA y otro el marco de certificación. Para la Agencia habrá muchos y muy positivos cambios, como por ejemplo que su mandato será indefinido, tendrá más recursos financieros y humanos en los próximos años y asumirá nuevas funciones, como la certificación, el impulso de la Directiva NIS [Directiva sobre seguridad de redes y sistemas de información] o el fortalecimiento de las infraestructuras de información críticas. Por lo tanto, la Cibersecurity Act es un paso adelante importante que permitirá a ENISA ser más efectiva en su tarea de apoyar a los Estados miembros y al sector privado en áreas como, por ejemplo, la protección de infraestructuras críticas.
¿Cómo funciona la Unidad de Infraestructuras y Servicios Seguros de ENISA, que usted dirige?
Nuestra función es ayudar a los Estados miembros a implementar la Directiva NIS, la cual afecta a las infraestructuras de información críticas. También ayudamos en algunos asuntos a la Comisión Europea, bajo petición de esta, y mantenemos un diálogo con el sector privado mediante la organización de eventos.
Nuestro papel es identificar buenas prácticas en áreas particulares de la Directiva NIS para presentar recomendaciones y sugerencias, así como ofrecer las mejores opciones para proporcionar soluciones prácticas e implementables por parte de los Estados miembros. En ese sentido, se trata de facilitar la armonización de la normativa en toda Europa.
«Las interdependencias entre las infraestructuras de los países es un asunto abierto que habrá que abordar»
¿Cuál es su percepción del estado actual de las infraestructuras críticas europeas?
Cada vez vamos a mejor. La mayoría de empresas, de algunos sectores en concreto, son conscientes de la situación del problema. Han empezado a invertir recursos y a desarrollar una estructura interna, y cuentan con procedimientos y políticas. Por ejemplo, han situado a un CISO, tienen gobierno, continuidad de negocio, participan en ejercicios, tienen políticas, controles, auditorías regulares, aplican estándares… Por tanto, están haciendo las cosas cada vez mejor y estamos satisfechos por ello. Aunque hay que decir también que esto no es así en todos los sectores. Algunos todavía están retrasados y necesitamos trabajar en ellos.
No obstante, existen nuevas tendencias tecnologías emergentes, como Internet de las Cosas, 5G o Inteligencia Artificial, que las compañías utilizarán para ofrecer mejores servicios, lo que significa que tendremos que volver y colaborar con todos esos jugadores para comprobar el estado del arte sobre estos asuntos.
¿Cuáles son los sectores que están en peor situación en cuanto a protección de sus infraestructuras críticas?
No diría tanto que están en peor situación, sino que algunos de ellos no tienen tanta dependencia de las tecnologías de la información como otros y ahora tienen que invertir mucho porque han de tener en consideración la ciberseguridad.
Desde nuestro punto de vista, sectores como el ferroviario, el del agua, el marítimo o el sanitario pueden hacer más o podrían ir mejor. Trabajamos con todos ellos para avanzar y estamos orgullosos de lo mucho que hemos conseguido.
¿Cuáles son los principales desafíos que afrontarán las infraestructuras críticas en el futuro?
El mayor desafío será desarrollar un enfoque holístico de la ciberseguridad. Porque vemos en este momento a muchas empresas trabajando en seguridad, en tecnologías de la información y en ciberseguridad, pero no están llevando a cabo una adecuada integración. Vemos que hay muchas diferencias entre tecnologías de la información y de la operación, por lo que tienen que considerar la seguridad de estos sistemas de manera holística. También tienen que invertir más en políticas, procedimientos, estructuras y gobernanza.
En cuanto al sector público, el principal reto es trabajar mejor con estas compañías para desarrollar confianza y ayudarles a mejorar en su seguridad sin que necesariamente haya que regular.
La Directiva NIS proporcionará una mejora en la ciberseguridad en estos entornos. ¿Cuál es el nivel actual de implementación de esta directiva entre los diferentes Estados Miembros?
Creo que más o menos todos los países han implementado la directiva. Algunos de ellos cuentan con lo básico de acuerdo con las disposiciones de la norma, mientras que otros han avanzado un poco más, han lanzado más iniciativas y han implementado provisiones adicionales. Pero como decía, existen diferencias entre Estados porque algunos tienen experiencia de más de dos décadas trabajando en ciberseguridad y cuentan con sus propias estrategias. De hecho, algunos de ellos ya había implementado las disposiciones que establece la Directiva NIS antes incluso de que se aprobara.
Es una experiencia de aprendizaje. Algunos, pocos, países estaban rezagados, pero ahora con la Directiva NIS se han tenido que poner al día. En nuestra opinión, todos los Estados miembros han alcanzado un nivel esencial, lo cual es realmente bueno y estamos muy satisfechos por ello.
Sin embargo, ¿qué aspectos cree que aún deben mejorar?
En mi opinión, el gran reto para la mayoría de países es implementar las disposiciones horizontales de la Directiva. Tienen que coger lo que es horizontal e intentar implementarlo en el entorno sectorial, trabajar con las partes interesadas y asegurarse de que lo que introducen sea coherente con los procedimientos de las leyes del sector en cuestión.
Para mí esto es lo más complicado y llevará algunos años. No obstante, ENISA está enfocando muchos esfuerzos en esta cuestión.
¡Sigue Leyendo!
Aquí te hemos mostrado tan solo una parte de este contenido.
¿Quieres leer el contenido completo?