Hoy en día, cada vez son más los servicios esenciales que dependen de sistemas y que, al estar conectados a la Red, son más vulnerables a ciberataques que pueden provocar un problema grave que afecte a la sociedad.
En este sentido, si bien ya había sectores muy vinculados a los sistemas de información (como el sector financiero), otros han abordado un creciente avance gracias a tecnologías OT e IoT (salud, energía, industria, etc.). De la misma forma, ha evolucionado la presión regulatoria que pretende establecer unas reglas que ayuden a mitigar los ciberriesgos en los servicios proporcionados a la sociedad, principalmente aquellos que se consideran esenciales.
Entidades
¿Cuál es el panorama actual de las entidades que prestan servicios esenciales? Si bien es posible que alguna entidad no deba cumplir con alguna de las siguientes normativas, la mayor parte de aquellas que prestan servicios esenciales tiene un paquete regulatorio bastante extenso al que hacer frente (tanto a nivel europeo como nacional), y que conforma cómo deben protegerse los sistemas, desde un punto de vista organizativo y técnico.
- Directiva NIS 2 (junto a la futura Ley que transponga la misma a nivel nacional y su reglamento de desarrollo): a falta de que se publique dicha transposición, teniendo en cuenta la Directiva actual y la Ley que se elaboró a partir de la NIS 1, se persigue un enfoque orientado a riesgos en el que las medidas se establezcan de acuerdo al análisis de los riesgos que afectan a los servicios. Asimismo, pretende fijar mecanismos de notificación de incidentes que permitan a las autoridades disponer de la información suficiente para poder actuar lo antes posible.
- Esquema Nacional de Seguridad: pendiente de saber la vinculación definitiva entre la Ley NIS 2 y la nueva versión del Esquema Nacional de Seguridad, publicada en 2022, muchas entidades han decidido adaptarse a él debido a la vinculación que tienen con la Administración Pública. Los controles definidos por esta norma proporcionan certeza en cuanto a medidas concretas que es necesario implementar, a diferencia de la Directiva NIS 2 que se guía principalmente por los riesgos vinculados al servicio esencial.
Te interesa: ¿Qué es la Ley de Ciberresiliencia de la UE?
- Reglamento DORA: específico para el sector financiero, pero con el claro objetivo de proteger uno de los sectores preferidos por los ciberatacantes y más avanzados tecnológicamente. Este reglamento busca unificar el nivel de protección de todo el ecosistema financiero, incluyendo ciertos actores que antes podían no estar incluidos en las exigencias que se realizaban al sector.
- Cyber Resilience Act : destinada a establecer las condiciones y los requisitos esenciales para el desarrollo de productos seguros con elementos digitales (para que productos hardware y software se comercialicen con menos vulnerabilidades). La utilización de cada vez más software y hardware conectado de terceros, junto a la facilidad que supone infectar múltiples entidades con un solo software o hardware vulnerable, ha hecho que Enisa lo identifique como la amenaza más relevante en su predicción para 2030.
- Directiva CER (junto a la futura ley que transponga la misma a nivel nacional y su reglamento de desarrollo): aunque no tenga una vinculación tan directa con los mecanismos de ciberseguridad, interrelaciona de una manera muy clara con la protección de las entidades críticas, que en su gran mayoría prestan servicios esenciales a la sociedad.
- Otras normativas, como los esquemas de certificación que se publicarán a partir del Cyber Security Act, y que establecerán requisitos específicos en función de ciertos servicios (por ejemplo, servicios en la nube).
Uno de los puntos más complicados es cómo proteger el servicio esencial, incluida la cadena de suministro
Servicios esenciales y cadena de suministro
¿Y qué pasa con la cadena de suministro de estas entidades? Uno de los puntos que más quebraderos de cabeza ha originado tanto en las entidades que prestan servicios esenciales como en las autoridades competentes es cómo proteger el servicio esencial en su totalidad, incluida la cadena de suministro que ayuda a que se puedan proporcionar.
La evolución para llegar a esto se ha realizado paso a paso. Inicialmente, a través de la descarga de toda la obligación en el responsable del servicio, que en ocasiones trataba de trasladar esos requisitos a los proveedores a través de contratos. Después estableciendo una obligación de supervisión sobre los proveedores, de forma que se incrementaba esa responsabilidad de los responsables del servicio, que además debían asegurarse de que los proveedores cumplían lo que firmaban.
El paso actual supone un gran avance hacia un modelo en el que, dado ese aumento de la externalización de servicios tecnológicos, se hace parte del propio ecosistema del servicio esencial al proveedor, responsabilizándole de cumplir con unos requisitos establecidos. Prueba de ello es la creciente demanda de certificaciones en el Esquema Nacional de Seguridad, así como la inclusión de los proveedores sistémicos como uno de los propios afectados por el Reglamento DORA, o la regulación destinada principalmente a fabricantes como la Cyber Resilience Act.
¡Sigue leyendo!
Aquí te hemos mostrado tan solo una parte de este contenido.
¿Quieres leer el artículo completo?
