Objetivos
NIS360 es un nuevo producto de la Agencia Europea para la Ciberseguridad, ENISA, que evalúa la madurez y la criticidad de los sectores NIS2, proporcionando un análisis comparativo y otro más profundo.
El objetivo del NIS360 es ayudar a las autoridades nacionales y a las agencias de ciberseguridad de los Estados miembros encargadas de la implementación del NIS2 a: (1) comprender el panorama general, (2) ayudarles a establecer prioridades, (3) identificar áreas de mejora y (4) facilitar el seguimiento del progreso de los sectores. El NIS360 también busca apoyar a los responsables políticos a nivel nacional y de la UE, aportando información sobre el desarrollo de políticas y estrategias, así como sobre iniciativas para fortalecer la ciberresiliencia.
Prioridades
El informe establece tres prioridades principales:
- — En primer lugar, recomienda que se fortalezca la colaboración, dentro de los sectores y entre ellos, mediante eventos de desarrollo comunitario y la cooperación a nivel sectorial, nacional y de la UE.
- — En segundo lugar, durante este período de transposición de la NIS2, se está convirtiendo en una prioridad desarrollar directrices sectoriales sobre cómo implementar los requisitos clave de la NIS2 en cada sector. El informe señala que las autoridades sectoriales nacionales están intensificando sus esfuerzos para implementar la NIS2. Si bien las inversiones están aumentando en todos los sectores, se requiere una mayor capacitación.
- — En tercer lugar, el NIS360 destaca la necesidad tanto de alinear los requisitos transfronterizos en cada sector del NIS como de colaborar transfronterizamente.
Resumen de las conclusiones clave
Los principales hallazgos incluyen lo siguiente:
La electricidad, las telecomunicaciones y la banca son los tres sectores más críticos y maduros que destacan sobre el resto. Estos sectores se han beneficiado de una importante supervisión regulatoria, financiación e inversiones, un enfoque político y, en general, una sólida colaboración público-privada.
Las infraestructuras digitales, que incluyen servicios críticos como puntos de intercambio de internet, dominios de nivel superior, centros de datos y servicios en la nube, se encuentran un nivel inferior en cuanto a madurez. Este sector de las NIS presenta una gran heterogeneidad en cuanto a la madurez de las entidades y una marcada naturaleza transfronteriza que dificulta la supervisión, el intercambio de información y la colaboración.
Seis sectores del NIS se encuentran dentro de la zona de riesgo NIS360, lo que sugiere que hay margen para mejorar su madurez en relación con su criticidad.
- — Gestión de servicios TIC: El sector se enfrenta a retos clave debido a su naturaleza transfronteriza y la diversidad de sus entidades. Fortalecer su resiliencia requiere una estrecha colaboración entre las autoridades, la reducción de las cargas regulatorias para las entidades sujetas tanto a la NIS2 como a otras leyes, y una estrecha colaboración en la supervisión transfronteriza.
- — Espacio: El limitado conocimiento de las partes interesadas en ciberseguridad y su gran dependencia de componentes comerciales listos para usar representan desafíos para el sector. Mejorar su resiliencia requiere una mayor concienciación en ciberseguridad, directrices claras para las pruebas de preintegración de los componentes y una colaboración más estrecha con otros sectores.
- — Administraciones públicas: Al ser muy diverso, el sector tiene dificultades para alcanzar un mayor nivel común de madurez. Carece del apoyo y la experiencia de sectores más maduros. Al ser un objetivo prioritario para el hacktivismo y las operaciones de nexo estatal, el sector debería reforzar sus capacidades de ciberseguridad aprovechando la Ley de Cibersolidaridad de la UE y explorando modelos de servicios compartidos entre las entidades del sector en áreas comunes, como los monederos digitales.
- — Marítimo: El sector continúa enfrentándose a desafíos con la tecnología operativa (OT) y podría beneficiarse de una guía de gestión de riesgos de ciberseguridad personalizada que se centre en minimizar los riesgos específicos del sector, así como de un ejercicio de ciberseguridad a nivel de la UE para mejorar la coordinación y la preparación en la gestión de crisis tanto sectorial como multimodal.
- — Salud: El sector salud, con una cobertura ampliada bajo el NIS2, sigue enfrentándose a desafíos como la dependencia de cadenas de suministro complejas, sistemas heredados y dispositivos médicos con poca seguridad. Para fortalecer su resiliencia, es necesario desarrollar directrices prácticas de adquisición que ayuden a las organizaciones a adquirir servicios y productos seguros, orientación personalizada para ayudar a superar problemas comunes y campañas de concienciación para el personal.
- — Gas: El sector debe seguir trabajando para desarrollar sus capacidades de preparación y respuesta ante incidentes, mediante el desarrollo y prueba de planes de respuesta a incidentes a nivel nacional y de la UE, pero también mediante una mayor colaboración con los sectores de la electricidad y la fabricación.
El informe se basa en datos de las autoridades nacionales con un mandato horizontal o sectorial, en la autoevaluación de las empresas de los sectores NIS2 y en fuentes de datos de la UE como Eurostat. En el informe NIS360 de ENISA, se identifican los puntos fuertes, los retos sectoriales y las deficiencias, y se formulan recomendaciones para mejorar la madurez y la resiliencia sectorial en toda la Unión.