En las fechas que estamos a final de abril de 2025 la trasposición de la directiva europea NIS2 a la legislación española está en formato de anteproyecto de Ley aprobado por el Consejo de Ministros con las consultas pertinentes a diversos cuerpos del estado pendientes y con la intención de ser presentada por la via de urgencia. Y es que desde 2022 con dos años de plazo hasta octubre de 2024 parece ser que ni la preocupante situación que ha obligado a la Comisión Europea a pasar el ITV a la ciberseguridad en Europa ni la evidencia de intensificación de ciberataques a empresas españolas ( ocultadas para mayor verguenza de muchos ) ha motivado hasta haber vencido el plazo dos meses después al gobierno de la nación ni sus legisladores electos a moverse de la mas absoluta ignorancia sobre el asunto y autocomplacencia ( ...con los juegos de guerra ) .
Fuentes : Experiencia personal, plataforma documental y divulgativa de la Unión Europea y del Gobierno de España.
Nota.- ** No está totalmente revisada ni la ortografía ni la gramática aún **
Para muchos lectores de este artículo ni si quiera les sonará las NIS2 y por tanto conocen el fondo ni la importancia de ella.
La Directiva 2022/2555 de 14 de dicembre de 2022 llamada NIS 2 en corto y directiva con las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión para los , en largo, aparece como respuesta a la creciente necesidad de fortalecer la ciberseguridad en Europa y garantizar que las infraestructuras críticas, incluidas las de fabricación, estén protegidas.
Dicho de otro modo, parece que la NIS1, la anterior directiva publicada en 2016, ha tenido una aceptación o éxito limitado traducido en implementaciones y resultados. Por cierto, lo de NIS viene que en el título de la directiva de 2016 en ingles se habla de “measures for a high common level of security of network and information systems across the Union“, pero curiosamente no aparece el texto resaltado en negrita en el título de la segunda directiva.
Los motivos de los modestos resultados de la NIS1 son varios y requerirían un artículo en exclusiva. Pero voy a resaltar un motivo : el coste de securizar y los sesgos cognitivos de los empresario respecto a la percepción de realidad del riesgo. En palabras mas sencillas podemos decir que para la mayoría de los empresarios relacionados con infraestructuras críticas o industria en general han estado practicando la “productiva” actividad de la “patada para adelante” durante todos estos años.
Para despertar a un CEO o consejo accionarial no hay nada mejor como :
1. Sufrir un buen ciberataque de ramsonware que habilmente ha encriptado todo y cada uno de los servidores y copias de seguridad de la compañía haciendo que el flujo de caja se desangre o bien en criptomonedas para pagar a los ciberdelincuentes o bien para como pollo sin cabeza buscar consultorias de seguridad mientras los chavales del departamento de seguridad ( si es que lo hay ), wintel, devops, devsecops, networking, workstations o microinformatica se movilizan entre confusas e improvisadas reuniones de crisis para saber que ha pasado e intentar hacer un plan de acción, por ejemplo desenpolvar los procedimientos de copias de seguridad, restauración y resilencia ( esos famosos DRP que se copian de internet para callar al auditor por ejemplo y que nunca se probó ).
2. Sufrir una buena multa o perder un litigio con un cliente.
Y precísamente el punto número 2 es lo que la NIS2 puede favorecer, es un golpe en la mesa muy serio porque lo que estamos sufriendo hasta ahora no ha hecho mas que empezar y aún no hemos sufrido un ciberataque catastrófico que nos despierte a todos de la cruda realidad, y es que estamos en guerra.
Un antiguo cliente cuando se dió cuenta, por la via numero 1, me dijo, “nos estában ametrallando y nos rozaban las balas mientras corríamos inconscientemente cogiendo flores por el campo de minas”, es una imagen super sugerente.
El marco normativo de la NIS2 y su correspondiente trasposición a la legislación de cada pais europeo supone que mas empresas y sectores se ven afectadas por la iniciativa de la Comision Europea, establece un marco legal mas serio y medidas punitivas que hacen daño al bolsillo de los empresarios asi como diversas medidas para haber si de una vez nos lo tomamos en serio.
Pero siento decirlo, soy muy pesimista o mejor dicho realista, me temo que ni aun así. Esto solo va a suponer como regla general mas trabajo para las consultoras de siempre, las que me gusta llamar cuentaovejas, y una pléyade de pequeñas consultorías y empresas de ciberseguridad de nuevo cuño. Y en lo efectivo quedará todo en otra forma de implantación a la ISO 9001, en busca de un sello y una firma.
Entiendo que almenos las grandes se lo tomarán en serio, pero hasta que se expanda la savia a través de la cadena de suministro van a pasar otros 2,3 o 5 años y un par de vesiones de NIS mas.
Desde hace unos 6 años estoy trabajando en el sector eléctrico. Siento decir que la imagen del campo de minas de mi antiguo cliente no solo es sugerente y aplicable para describir la situación sino una autentica realidad.
Y no hablemos si encima ponemos sobre la mesa el ocultado o ignorado ( no se que es peor ) impacto de las renovables en la estabilidad de la infraestructura eléctrica, toda una arma de destrucción masiva.
Para cerrar este árticulo decir que aún estamos a tiempo, hay profesionales, tecnologías metodologías, productos, servicios y suficientes ganas para evitar un desastre, pero tiene que ser ya, y si la NIS2 ayuda bienvenida sea.
Lectura sugerida :
https://digital-strategy.ec.europa.eu/en/policies/nis2-directive
https://www.incibe.es/incibe-cert/sectores-estrategicos/NIS2-necesitas-saber
Javier G. Sáenz
Ingeniero Senior IT&OT
Consultor Senior de sistemas industriales ICS/SCADA
Arquitecto/programador especialista de sistemas ICS/SCADA Siemens
Experto en ciberseguridad industrial, ISA S99/IEC62443
Consultor Senior Datacenter
Project Manager
ITI/ITSM/COBIT
Consultor e Ingeniero de Convergencia IT OT
No hay comentarios:
Publicar un comentario