Informe ENISA NIS360 2024: Una mirada exhaustiva a la madurez y criticidad de la ciberseguridad de los sectores NIS2

El NIS360 es un nuevo producto de la Agencia de la UE para la Ciberseguridad, ENISA, que evalúa la madurez y criticidad de los sectores NIS2, proporcionando un análisis comparativo y más profundo.

El objetivo de la NIS360 es ayudar a las autoridades nacionales y a las agencias de ciberseguridad de los Estados miembros encargados de la aplicación de la NIS2, comprender el panorama general, ayudarles con la priorización, destacar las áreas de mejora y facilitar el seguimiento de los avances de los sectores. El NIS360 también tiene como objetivo apoyar a los responsables políticos a nivel nacional y de la UE, para que aporten información sobre el desarrollo de políticas y estrategias, así como sobre las iniciativas para aumentar la ciberresiliencia.

El informe establece tres prioridades principales:

• En primer lugar, recomienda que se refuerce la colaboración, dentro de los sectores y entre ellos, a través de eventos de creación de comunidad y la cooperación a nivel sectorial, nacional y de la UE.
• En segundo lugar, dentro de este período de transposición de la SRI2, se está convirtiendo en una prioridad cada vez mayor el desarrollo de orientaciones sectoriales específicas sobre cómo aplicar los requisitos clave de la SRI2 en cada sector. El informe señala que las autoridades sectoriales nacionales están intensificando la aplicación de la SRI2. Si bien las inversiones están aumentando en todos los sectores, se requiere una mayor mejora de las capacidades.
• En tercer lugar, la NIS360 hace hincapié en la necesidad de armonizar los requisitos transfronterizos en cada sector de la SRI, así como de la colaboración transfronteriza.

Resumen de las principales conclusiones

Entre las principales conclusiones se encuentran las siguientes:

• La electricidad, las telecomunicaciones y la banca son los tres sectores más críticos y maduros que destacan por encima del resto. Estos sectores se han beneficiado de una importante supervisión regulatoria, financiamiento e inversiones, enfoque político y, en general, una sólida asociación público-privada.

• Las infraestructuras digitales, que incluyen servicios críticos como intercambios de Internet, dominios de nivel superior, centros de datos y servicios en la nube, están un paso por debajo en términos de madurez. Este sector de los SRI es muy heterogéneo en cuanto a la madurez de las entidades, y tiene una fuerte naturaleza transfronteriza que complica la supervisión, el intercambio de información y la colaboración.  

• Seis sectores de NEI se encuentran dentro de la zona de riesgo NIS360, lo que sugiere que hay margen de mejora en su madurez en relación con su criticidad.

  • Gestión de servicios TIC: El sector se enfrenta a retos clave debido a su carácter transfronterizo y a la diversidad de entidades. El fortalecimiento de su resiliencia requiere una estrecha cooperación entre las autoridades, una reducción de las cargas reglamentarias para las entidades sujetas tanto a la SRI2 como a otra legislación, y una estrecha cooperación en materia de supervisión transfronteriza.

  • Espacio: Los limitados conocimientos de ciberseguridad de las partes interesadas y su gran dependencia de los componentes comerciales listos para usar presentan desafíos para el sector. Mejorar su resiliencia requiere una mayor concienciación sobre la ciberseguridad, directrices claras para las pruebas previas a la integración de los componentes y una mayor colaboración con otros sectores.

  • Administraciones públicas: Al ser muy diverso, es un reto para el sector alcanzar un mayor nivel común de madurez. El sector carece del apoyo y la experiencia que se observa en sectores más maduros. Al ser un objetivo principal para el hacktivismo y las operaciones de nexo entre estados, el sector debe apuntar a fortalecer sus capacidades de ciberseguridad aprovechando la Ley de Solidaridad Cibernética de la UE y explorando modelos de servicios compartidos entre entidades del sector en áreas comunes, por ejemplo, billeteras digitales.

  • Marítimo: El sector sigue enfrentándose a retos con la tecnología operativa (OT) y podría beneficiarse de una orientación adaptada a la gestión de riesgos de ciberseguridad que se centre en minimizar los riesgos específicos del sector, así como de un ejercicio de ciberseguridad a escala de la UE para mejorar la coordinación y la preparación en la gestión de crisis tanto sectoriales como multimodales.

  • Salud: El sector de la salud, con una cobertura ampliada en el marco de la NIS2, sigue enfrentándose a desafíos como la dependencia de cadenas de suministro complejas, sistemas heredados y dispositivos médicos poco seguros. El fortalecimiento de su resiliencia requiere el desarrollo de directrices prácticas de contratación para ayudar a las organizaciones a adquirir servicios y productos seguros, orientación personalizada para ayudar a superar problemas comunes y campañas de concienciación del personal.

  • Gas: El sector debe seguir trabajando para desarrollar sus capacidades de preparación y respuesta ante incidentes, mediante el desarrollo y la prueba de planes de respuesta a incidentes a nivel nacional y de la UE, pero también mediante una mayor colaboración con los sectores de la electricidad y la fabricación.

El informe se basa en datos de las autoridades nacionales con un mandato horizontal o sectorial, en la autoevaluación de las empresas de los sectores SRI2 y en fuentes de datos de la UE, como Eurostat. En el ENISA NIS360 se identifican los puntos fuertes, los retos sectoriales y las carencias, y se formulan recomendaciones para mejorar la madurez y la resiliencia sectoriales en toda la Unión.

Descargar informe

Fuente original de la noticia