Red Seguridad 103

red seguridad cuarto trimestre 2023 59 servicios esenciales monográfico los sistemas de certificación y comen- zar a prepararse para las certificacio- nes tan pronto como surja un procedi- miento adecuado. 3. Cooperación sectorial. Debe llevarse a cabo una estrecha cooperación entre sectores afectados para desarrollar una posición unificada en términos de siste- ma de ciberseguridad. Tales posiciones colectivas no solo serán importantes, especialmente en el contexto de los procesos de aplicación en diferentes países, sino también necesarios para lograr un sistema de ciberseguridad que funcione. Teniendo en cuenta la próxima legislación en el ámbito de las nuevas tecnologías, también merece la pena presentar dictámenes como parte del proceso legislativo lo antes posible. Autoridades Las recomendaciones para las autorida- des en cada Estado miembro son: 1. Criterios claros para evaluar com- ponentes y aplicaciones críticas. Los organismos de la Administración Públi- ca deben elaborar normas claras para determinar qué dispositivos o aplicacio- nes se consideran seguros en el senti- do de la Directiva NIS 2. Esto acelerará las implementaciones y reducirá los costes para las entidades afectadas. Se recomienda la publicación de una “lista blanca” de componentes reconocidos como seguros, junto con una indicación del sector y los servi- cios en los que pueden utilizarse di- chos componentes. Las autoridades deberían elaborar un modelo metodológico para el inventa- rio de procesos y recursos TIC. El cum- plimiento con dicho modelo debería garantizar la validez de la estimación del riesgo en el contexto de uso de un determinado componente o aplicación. 2. Cautela en la imposición de obliga- ciones estrictas a la pyme. Teniendo en cuenta la magnitud y el alcance de las obligaciones derivadas de la Direc- tiva NIS 2, los Estados miembros de- ben reducir al mínimo las obligaciones potenciales impuestas a la pyme. Las obligaciones impuestas a este sector que sean demasiado amplias podrían tener un efecto negativo, aumentando los costes para un empresario deter- minado y reduciendo su competiti- vidad en relación con las entidades similares de otros países de la UE, no cubiertas por esa misma amplitud de obligaciones de la Directiva NIS 2. 3. Promover el uso de la certificación. La Directiva NIS 2 conlleva un aumen- to de los costes relacionados con las TIC. Una forma de reducirlos a nivel nacional es crear un sistema de cer- tificación. Estos sistemas de certifica- ción, bien definidos, pueden servir de modelo para desarrollar la certifica- ción de la UE. Las autoridades deberían asegurar el uso de la certificación dentro del país y garantizar el reconocimiento de cer- tificaciones internacionales para com- ponentes y aplicaciones. 4. Enfoque racional del sistema de ci- berseguridad. La gama de tareas, res- ponsabilidades y entidades involucra- das en garantizar un enfoque racional de la ciberseguridad es muy amplia. La ampliación del catálogo de entidades obligadas a aplicar la Directiva NIS 2 afectará, probablemente, a la calidad y al precio de los servicios en la UE. Aunque actualmente es difícil cues- tionar el razonamiento detrás de la ampliación del catálogo de entidades y el alcance de los componentes y ser- vicios cubiertos por los requisitos de la Directiva NIS 2, en nuestra opinión, la aplicación racional de dichos requisi- tos contribuirá a limitar el posible im- pacto negativo de esta regulación en la economía de la UE, cumpliendo al mismo tiempo normas estrictas de ci- berseguridad. Puede lograrse un enfo- que racional de la ciberseguridad defi- niendo con precisión qué entidades y en qué servicios deben aplicar normas de seguridad específicas. Para ello, se deberían realizar las si- guientes medidas: Promover la certificación armoni- zada en la UE y otorgarle el estatus adecuado para garantizar la seguri- dad de un producto/servicio deter- minado. Describir claramente los factores que deberían tenerse en cuenta al evaluar el riesgo en la cadena de suministro. Asegurar una diversidad de provee- dores, haciendo posible tener una estrategia adecuada de múltiples proveedores para evitar o limitar cualquier dependencia importante de un solo proveedor.