La Directiva NIS2 se centra en aumentar la resiliencia de las entidades que prestan servicios esenciales y en garantizar la continuidad de esos servicios ante posibles ciberamenazas.
La resiliencia en ciberseguridad, especialmente en entornos industriales y críticos, requiere un modelo basado en el ciclo PDCA (Plan-Do-Check-Act). Este ciclo es esencial para gestionar la resiliencia de manera eficaz porque permite la mejora continua y la capacidad de adaptación frente a amenazas cambiantes.
La Directiva NIS 2 introduce principalmente esquemas de cumplimiento que imponen obligaciones específicas a las organizaciones en términos de ciberseguridad. Si bien algunos de sus requisitos, como los detallados en los artículos 20 y 21, están alineados con un enfoque de gestión de riesgos que podría asociarse con el ciclo PDCA (Planificar, Hacer, Verificar, Actuar), este alineamiento es parcial y limitado. Por ejemplo, el artículo 20 obliga a las entidades a implementar medidas de seguridad proporcionales a los riesgos, lo que refleja la fase de planificación y ejecución del ciclo PDCA. Del mismo modo, el artículo 21 aborda la notificación de incidentes, lo que conecta con la fase de verificación y actuación, donde las organizaciones deben ajustar sus respuestas basándose en el análisis de los incidentes pasados, , sin embargo, el enfoque general de la directiva se orienta hacia la supervisión regulatoria y el cumplimiento de normas, en lugar de promover directamente un ciclo continuo de mejora en la ciberseguridad.
Las organizaciones industriales están legalmente obligadas a cumplir con normativas rigurosas tanto en gestión de calidad como en seguridad operacional y/o funcional. Estas normativas, aunque necesarias para proteger a los trabajadores y el medio ambiente, así como para garantizar la calidad de los productos, a menudo imponen una carga significativa sobre las empresas, especialmente las más pequeñas. El cumplimiento de normas como ISO 9001 o ISO 45001 requiere de un modelo basado en PDCA que no solo supone una considerable inversión de recursos en la implementación de sistemas de gestión, sino también un esfuerzo para mantener la certificación a través de auditorías y controles periódicos, pero necesario para una mejora continua.
Aprovechar este esfuerzo y aplicar el mismo modelo PDCA en ciberseguridad no solo es natural, sino más eficiente. Al integrarlo con los procesos ya establecidos en calidad y seguridad operacional, las organizaciones pueden maximizar los recursos invertidos, fortalecer su postura de ciberseguridad y asegurar una gestión coherente y alineada en todos los frentes críticos, sin duplicar esfuerzos o generar fricciones entre las áreas operativas y de seguridad.
El enfoque NIS2, al centrarse en el cumplimiento de regulaciones estáticas y estándares establecidos, corre el riesgo de encasillar a las organizaciones en una mentalidad de «cumplir para evitar sanciones» en lugar de fomentar una verdadera evolución en su postura de ciberseguridad, sin duda este enfoque supone una mejora sustancial para la ciberseguridad de los operadores que prestan servicios esenciales para la sociedad del bienestar, pero esta rigidez regulatoria podría sofocar la innovación y la proactividad que tanto se necesitan frente a las amenazas en constante cambio. En lugar de incentivar una adaptación dinámica, estas normativas pueden generar una complacencia peligrosa, donde el cumplimiento se convierte en el fin último, relegando la seguridad real a un segundo plano. Las empresas podrían limitarse a marcar casillas en lugar de desarrollar una estrategia integral y adaptativa, lo que las deja vulnerables a riesgos emergentes que no encajan dentro del marco regulador predefinido.
Las organizaciones industriales tienen un alto impacto físico y esto requiere que la ciberseguridad se implemente de forma más robusta y adaptativa con un modelo PDCA que fortalezca su postura frente a amenazas críticas y cambiantes.
Ciberseguridad y Operativa
Los requisitos de ciberseguridad no deberían interferir ni entrar en conflicto con las operaciones industriales diarias, donde los tiempos de inactividad o las interrupciones pueden resultar no solo extremadamente costosos, sino también peligrosos para la integridad de los procesos y la seguridad de los trabajadores. Las medidas de seguridad deben ser ágiles y coherentes con las exigencias operativas de la industria, en lugar de imponer cargas que puedan paralizar las operaciones. En este sentido, un modelo PDCA, al permitir una mejora continua y adaptativa, debería ser considerado como una estrategia clave. Este enfoque no solo equilibra la protección con la eficiencia operativa, sino que también minimiza la fricción entre las necesidades de seguridad y la fluidez de los procesos industriales críticos, evitando las rigideces que podrían poner en riesgo la productividad y la seguridad.
La integración de nuevos protocolos de seguridad en sistemas OT heredados presenta desafíos significativos, tanto en términos de complejidad como de costos. Es crucial, por lo tanto, adoptar un enfoque basado en el modelo PDCA en la transposición de la directiva NIS2. Este enfoque permitiría adaptar gradualmente las tecnologías heredadas a los nuevos requisitos de seguridad sin comprometer la operatividad de las infraestructuras críticas. El ciclo de mejora continua del PDCA facilita la implementación progresiva de medidas de seguridad, minimizando las interrupciones y asegurando que los sistemas legacy se mantengan operativos mientras se fortalecen contra las amenazas emergentes.
Cumplimiento de normativas sectoriales
Uno de los principales objetivos de la directiva NIS2 es establecer un marco común que unifique la dispersión regulatoria existente en la ciberseguridad. En su artículo 4, la directiva establece cómo debe relacionarse con otros actos jurídicos de la UE, priorizando la aplicación de las normativas sectoriales específicas sobre la norma general de NIS2. Esto significa que, en caso de conflicto, los actos jurídicos sectoriales prevalecerán. Por ello, es fundamental disponer de una clara regulación sectorial vigente y los estándares aplicables para asegurar que las organizaciones industriales puedan cumplir con sus obligaciones sin generar incoherencias o conflictos normativos. La claridad en la aplicabilidad de estos marcos sectoriales resultará clave para evitar duplicidades y garantizar una implementación eficiente y coherente de las normativas.
Fragmentación de responsabilidades
En los entornos OT, la ciberseguridad a menudo sufre de una falta de responsabilidad clara, ya que las tareas están dispersas entre ciberseguridad IT, operaciones, mantenimiento, ingeniería y proveedores externos. Esta fragmentación no solo genera confusión, sino que también abre la puerta a brechas de seguridad que podrían ser explotadas con graves consecuencias para las infraestructuras críticas. Las nuevas obligaciones derivadas de la transposición de la NIS2 no pueden simplemente añadir más regulaciones sobre esta estructura ya disfuncional; deben abordar de manera urgente y concreta la asignación precisa de responsabilidades. Esto debe realizarse con un enfoque basado en el modelo PDCA, que garantice no solo la claridad en los roles, sino también una mejora continua en la integración y cooperación entre equipos, evitando así que los vacíos operacionales comprometan la seguridad global del entorno OT. Ignorar esta necesidad de claridad y coordinación sería perpetuar el mismo caos que pone en peligro la resiliencia industrial.
Gestión de incidentes críticos
Los incidentes de ciberseguridad en sistemas OT no solo comprometen la infraestructura tecnológica, sino que pueden desencadenar consecuencias físicas catastróficas, afectando gravemente la seguridad de las personas, el medio ambiente y la continuidad operativa de sectores críticos. Sin embargo, las nuevas obligaciones impuestas por la directiva NIS2 parecen insuficientes si no abordan de manera específica y robusta la respuesta ante incidentes de alto impacto que podrían poner en riesgo la salud pública y la integridad de los sistemas industriales. Para mitigar esta deficiencia, es crucial que las organizaciones desarrollen planes de contingencia que vayan más allá del cumplimiento normativo de NIS2, centrados en la resiliencia operativa y en la capacidad de recuperación ante ataques complejos y coordinados.
Asimismo, fomentar simulacros de ciberincidentes a gran escala y fortalecer la cooperación entre sectores críticos y las autoridades puede ayudar a cerrar la brecha entre la teoría regulatoria y la práctica efectiva de mitigación de riesgos. Solo mediante la adopción de un enfoque integrado y adaptativo que combine las mejores prácticas en ciberseguridad con las regulaciones de NIS2, se podrá asegurar una protección más eficaz contra los escenarios de mayor riesgo.
Aunque NIS2 promueve la cooperación y el intercambio de información entre las empresas y las autoridades nacionales, este enfoque colaborativo, aunque positivo, corre el riesgo de quedarse en una mera formalidad si no se asegura una implementación efectiva y concreta. Las lecciones aprendidas de incidentes previos no siempre se traducen en acciones preventivas reales, y la transposición de la directiva debe ir más allá de la teoría, fomentando la creación de espacios sectoriales donde el intercambio de información y experiencias se convierta en una práctica habitual y no en una excepción. Si no se garantiza una colaboración activa y tangible, cualquier avance en resiliencia a nivel nacional o europeo será superficial, dejando a las organizaciones vulnerables a amenazas cada vez más sofisticadas.
El cumplimiento normativo que exigirá la transposición de la directiva NIS2 es solo una pieza del rompecabezas de la ciberseguridad en entornos industriales. Sin un enfoque de mejora continua, las organizaciones corren el riesgo de caer en una dinámica de cumplimiento estático, incapaz de adaptarse a un entorno de amenazas en constante evolución. El modelo PDCA ofrece una alternativa proactiva, al permitir que las empresas no solo cumplan con la normativa, sino que también evolucionen en su resiliencia industrial.
Autor:
José Valiente
Director General del Centro de Ciberseguridad Industrial
