En un entorno cada vez más interconectado y complejo, la seguridad de las infraestructuras críticas y los servicios esenciales ha cobrado una importancia sin precedentes. A través de la implementación de las directivas europeas NIS2 y CER, la Unión Europea ha establecido un marco normativo destinado a mejorar tanto la ciberseguridad como la resiliencia de estas infraestructuras estratégicas. En este artículo, exploramos los principales desafíos y los puntos clave de adaptación a estas nuevas normativas, esenciales para la protección y continuidad de servicios críticos.
Directivas NIS2 y CER
La directiva NIS2, como evolución de la anterior NIS, amplía la protección a nuevos sectores, diferenciando aquellos de alta criticidad. Su objetivo es estandarizar los niveles de ciberseguridad en todos los Estados miembros, exigiendo a las organizaciones afectadas establecer medidas de ciberprotección, como el control de accesos y el cifrado de comunicaciones, para blindar sus sistemas de información. La CER, por su parte, se centra en la resiliencia, buscando que las infraestructuras críticas cuenten con planes sólidos para asegurar la continuidad operativa en caso de amenazas.
Ambas directivas definirán qué empresas se considerarán críticas en mayor o menor grado. Este nivel crítico irá acompañado de obligaciones proporcionales. En ese sentido, NIS2 y CER representan un cambio significativo para las organizaciones que gestionan servicios esenciales y ahora están sujetas a un marco de cumplimiento riguroso y detallado. No solo deben proteger los activos cibernéticos, sino también la infraestructura física, asegurando un sistema de protección que abarque tanto los accesos como la integridad de los sistemas conectados a la red.
Soluciones certificadas
La evaluación y certificación de productos de seguridad constituyen el medio objetivo esencial para valorar y acreditar la capacidad de un producto en el manejo seguro de la información. Estos procesos proporcionan un marco estructurado y eficiente para evaluar la robustez de seguridad de los productos de TI. En enero de 2024, la Agencia de la Unión Europea para la Ciberseguridad (ENISA) adoptó el Esquema Europeo de Ciberseguridad con Criterios Comunes (EUCC) como el primer esquema dentro del marco de certificación de ciberseguridad de la Unión.
Además, algunos países como Francia cuentan con las primeras certificaciones específicas. En este contexto, el estándar CSPN, emitido por la Agencia Nacional de Seguridad de los Sistemas de Información de Francia (ANSSI), garantiza la ciberseguridad de los productos tecnológicos. En marzo de 2022, ANSSI firmó un acuerdo de reconocimiento mutuo con la Oficina Federal de Seguridad de la Información de Alemania (BSI), facilitando el reconocimiento cruzado de las certificaciones CSPN y BSZ de Alemania. Este acuerdo mejora la aceptación de productos certificados en ambos países, promoviendo un acceso más amplio al mercado para soluciones certificadas.
Para los proveedores y fabricantes de estos sistemas, la certificación demuestra el cumplimiento con los estándares de seguridad y facilita a las organizaciones cumplir con los requisitos de seguridad exigidos, minimizando riesgos y puntos de vulnerabilidad.
En este contexto, la experiencia de Dorlet destaca, al haber certificado sus soluciones bajo estándares rigurosos, como la citada certificación de seguridad CSPN de ANSSI. Proporciona a las infraestructuras críticas productos que no solo cumplen con las normativas UNE de seguridad física, sino que también ofrecen altos niveles de protección cibernética, algo imprescindible para el cumplimiento de las exigencias de la Directiva NIS2.
Control de accesos en infraestructuras críticas
Dentro de las medidas técnicas imprescindibles para el cumplimiento de la normativa, el control de accesos se vuelve un pilar esencial. La Directiva NIS2 señala la necesidad de implementar controles de acceso, algo clave para la seguridad tanto física como digital. Con soluciones avanzadas de control de accesos y una amplia experiencia en el sector, Dorlet garantiza que cada acceso esté gestionado y monitorizado con los niveles de ciberseguridad más estrictos. Esto incluye el cifrado en todas las comunicaciones entre servidores, controladoras y lectores, asegurando una protección de extremo a extremo avalada por certificaciones de alta exigencia, como la CSPN.
Los dispositivos conectados a redes locales o a Internet, como los equipos de control de accesos y las cámaras, pueden ser puntos vulnerables si no se protegen adecuadamente. De hecho, la implementación de estándares como DESFIRE EV2 y EV3 en las comunicaciones entre tarjetas y lectores minimiza, a su vez, los riesgos de intrusiones no autorizadas. Con estas soluciones, Dorlet refuerza la seguridad y ofrece una mayor protección contra ciberamenazas, permitiendo que las organizaciones gestionen los accesos de forma segura y cumpliendo con las exigencias de la normativa europea.
Cumplimiento normativo
Cumplir con los requisitos de las directivas NIS2 y CER implica también un enfoque proactivo en la gestión de riesgos, gobernanza y capacitación. Las entidades deben trabajar en estrategias de resiliencia y planes de recuperación, manteniendo simultáneamente un enfoque de mejora continua. No cumplir con estas normativas puede llevar a sanciones económicas severas, pero también ofrece la oportunidad de optimizar procesos y crear procedimientos proporcionales a los riesgos.
La adaptación a estas nuevas normativas puede parecer un reto, pero representa una oportunidad de elevar la seguridad general de las infraestructuras críticas, no solo ante ciberataques, sino también en situaciones de emergencia o desastres naturales. Contar con soluciones seguras y certificadas, como las que Dorlet ofrece, permitirá a las organizaciones responder eficazmente y asegurar la continuidad operativa, incluso ante escenarios de alta amenaza.
Aval de protección para infraestructuras críticas
Para la protección de infraestructuras críticas, las certificaciones de ciberseguridad juegan un papel crucial. Algunas de estas certificaciones están respaldadas por organismos nacionales y garantizan un reconocimiento mutuo entre países, como el acuerdo SOG-IS en Europa o las certificaciones CSPN de Francia y FIPS en Estados Unidos. Estas certificaciones representan un estándar de confianza que avala la protección de los dispositivos contra intrusiones y ataques cibernéticos, siendo particularmente importante para infraestructuras altamente críticas que operan en redes compartidas.
Por este motivo, Dorlet demuestra su compromiso con la ciberseguridad mediante soluciones certificadas como Shēld y el cumplimiento de normativas clave, como ISO 27001 y el Esquema Nacional de Seguridad. Esto garantiza que nuestras soluciones, junto con nuestras prácticas, cumplan con los más altos estándares de protección, un aspecto fundamental para infraestructuras críticas y servicios esenciales. Con un enfoque integral de seguridad de extremo a extremo, Dorlet fortalece el blindaje contra amenazas, ofreciendo a las organizaciones herramientas sólidas para enfrentar los desafíos de seguridad actuales y futuros.
