A pocos días del plazo final, solo Bélgica y Croacia han notificado oficialmente la adopción de la Directiva de seguridad de redes y sistemas de Información 2 (NIS2) en sus legislaciones nacionales, dejando a otros 25 países de la Unión Europea rezagados en la implementación de medidas clave para la ciberseguridad de sectores esenciales. Este retraso pone en riesgo la resiliencia ante incidentes cibernéticos de infraestructuras críticas como energía, transporte y banca.

Ciberseguridad en la UE.
La NIS2, aprobada en 2022 (https://ciberprisma.org/2024/02/26/nist-presenta-el-marco-de-ciberseguridad-version-2-0-una-actualizacion-historica-para-la-gestion-mejorada-de-riesgos-ciberneticos/), tiene como objetivo reforzar la protección de sectores vitales contra incidentes cibernéticos de gran escala. Estos sectores incluyen energía, agua, transporte, salud, y banca, entre otros. La actualización de la directiva NIS1 se propuso como una respuesta a la creciente digitalización y la complejidad del panorama de amenazas cibernéticas. La Comisión Europea ha señalado que la directiva previa no logró mejorar de manera significativa la ciberresiliencia de las empresas en la UE ni fomentar una respuesta conjunta ante crisis.

Bélgica y Croacia: los únicos en el camino correcto.
Hasta la fecha, solo Bélgica ha notificado la transposición completa de la NIS2 a nivel nacional, mientras que Croacia lo ha hecho de manera parcial. La fecha límite para la implementación de esta directiva es el 17 de octubre de 2024, lo que deja a la mayoría de los países miembros con un margen de tiempo mínimo para cumplir con sus obligaciones. A pesar de haber sido la primera en notificar su transposición parcial en marzo de 2023, Croacia aún no ha completado el proceso.

Impacto para las empresas: conciencia y sanciones.
Uno de los cambios más notables de la NIS2 es la ampliación de su alcance. Mientras que la NIS1 afectaba a unas 600 entidades, la NIS2 abarca a casi 15,000. Sin embargo, un informe reciente del comité parlamentario francés indica que muchas de las empresas ahora incluidas en el ámbito de la directiva desconocen las medidas que deben cumplir. La falta de concienciación podría tener consecuencias significativas, ya que la normativa impone multas de hasta 10 millones de euros, o el 2% de los ingresos mundiales, en caso de incumplimiento.

La resistencia de otros países europeos.
Algunos países, como Alemania, ya han anunciado que no cumplirán el plazo. En el caso alemán, la adopción de la ley que implementa la NIS2 se prevé para principios de 2025, lo que deja un vacío temporal de regulación que podría aumentar la vulnerabilidad ante ciberataques en sectores estratégicos.

Directiva de Resiliencia de Entidades Críticas (CER)
La Directiva de Resiliencia de Entidades Críticas (CER) complementa la NIS2, estableciendo obligaciones para garantizar que los servicios esenciales funcionen sin interrupciones, ya sea ante amenazas naturales o intencionadas. Esta normativa aborda riesgos para infraestructuras críticas en sectores como la energía, el transporte, la salud, y las telecomunicaciones, exigiendo que las entidades realicen evaluaciones periódicas de riesgos y tomen medidas preventivas.

Sectores críticos en la ciberseguridad: la columna vertebral de los servicios esenciales.

En la Unión Europea, los sectores críticos se refieren a aquellos que proporcionan servicios esenciales cuya interrupción o fallo podría tener un impacto significativo en la sociedad, la economía o la seguridad de una nación. Estos sectores son fundamentales para la vida cotidiana y la estabilidad de los Estados miembros, lo que los convierte en objetivos prioritarios para los ciberdelincuentes. La Directiva (UE) 2022/2557, complementada por el Reglamento Delegado de la Comisión, establece una lista detallada de estos sectores y los servicios esenciales que los conforman.

Lista de sectores críticos y servicios esenciales:

  1. Sector energético:
    Este sector incluye la electricidad, el gas, el petróleo, el hidrógeno y los sistemas de calefacción y refrigeración. Los servicios esenciales van desde la generación y distribución de electricidad, hasta el transporte y almacenamiento de gas y petróleo, y la gestión de reservas estratégicas. La resiliencia de este sector es clave, ya que una interrupción en la cadena de suministro de energía puede afectar gravemente la economía y la vida diaria.
  2. Sector del transporte:
    Este abarca el transporte aéreo, ferroviario, por carretera y marítimo, e incluye servicios como la gestión de aeropuertos y puertos, el control del tráfico aéreo y los sistemas de transporte inteligente. La infraestructura de transporte es vital para el comercio y la movilidad de personas, y un ciberataque podría generar caos en múltiples países.
  3. Sector bancario y de infraestructura de los mercados financieros:
    Los servicios de banca incluyen la toma de depósitos y la concesión de préstamos, mientras que la infraestructura financiera comprende la operación de sistemas de compensación y liquidación. La estabilidad del sistema financiero es fundamental para evitar crisis económicas, por lo que es un sector que necesita estrictas medidas de ciberseguridad.
  4. Sector de la salud:
    Proporciona servicios esenciales relacionados con la atención médica, investigación y desarrollo de productos farmacéuticos, fabricación de dispositivos médicos críticos, y distribución de medicamentos. Un ataque a este sector, especialmente en momentos de crisis sanitaria, podría tener consecuencias desastrosas para la salud pública.
  5. Agua potable y aguas residuales:
    El suministro y distribución de agua potable, junto con la recolección y tratamiento de aguas residuales, son servicios fundamentales para la salud pública y el bienestar. Las interrupciones en el acceso a agua potable o el tratamiento de aguas residuales podrían causar crisis de salud a gran escala.
  6. Infraestructura digital:
    Comprende servicios como la operación de puntos de intercambio de internet, servicios de computación en la nube, centros de datos, redes de comunicaciones electrónicas y servicios de confianza. Con la creciente digitalización de los sectores económicos, la infraestructura digital se ha convertido en la columna vertebral del funcionamiento de otros sectores críticos.
  7. Administración pública:
    Los servicios proporcionados por las entidades de la administración pública son esenciales para la gobernanza, la estabilidad y la prestación de servicios al público. La protección de la infraestructura gubernamental es fundamental para mantener el orden y la confianza en las instituciones.
  8. Espacio:
    Este sector abarca la operación de infraestructura terrestre que apoya la prestación de servicios espaciales. Aunque a menudo pasa desapercibido, el espacio juega un rol clave en la comunicación global, la navegación y la observación terrestre.
  9. Producción y distribución de alimentos:
    Incluye la producción industrial a gran escala de alimentos, la logística y la distribución al por mayor. Un ciberataque que interrumpa esta cadena podría desestabilizar el acceso a alimentos y generar una crisis social.

Un desafío a contrarreloj.
La falta de preparación en la implementación de la NIS2 revela un problema más amplio de concienciación y adaptación a las crecientes exigencias de ciberseguridad en la UE. Con solo dos países cumpliendo hasta ahora, la mayoría de las naciones europeas enfrentan el desafío de actualizar rápidamente sus leyes y sistemas antes del plazo límite. El costo de no hacerlo no solo implica sanciones financieras, sino también el riesgo de quedar expuestos a ataques cibernéticos de gran escala en un entorno digital cada vez más vulnerable.

Fuentes: https://www.critical-entities-resilience-directive.com/

https://www.euronews.com/next/2024/10/09/only-belgium-croatia-adopt-eu-cyber-rules-for-critical-sectors-week-before-deadline