Seguritecnia 501

/ Mayo-Junio 2023 46 Ciberseguridad en sistemas físicos restaurar las operaciones normales de manera eficiente. La cadena de suministro se ha con- vertido en una de las principales pre- ocupaciones en relación con la ciber- seguridad. ¿Cómo han de abordar las empresas proveedoras esta cuestión cuando proporcionan sus productos y servicios a sus clientes? En primer lugar, es fundamental llevar a cabo una evaluación exhaustiva de los riesgos asociados a los productos y ser- vicios a lo largo de toda la cadena de suministro. Esto implica identificar posi- bles vulnerabilidades, evaluar la seguri- dad de los proveedores y establecer las medidas de control adecuadas. Es necesario establecer acuerdos claros con los proveedores, incluyendo cláusulas de seguridad y requisitos es- pecíficos relacionados con la cibersegu- ridad. En este sentido, las empresas de- ben priorizar los servicios más críticos y que conllevan mayor nivel de riesgo o que afectan a sus servicios esenciales o infraestructuras críticas, para asegurar que se les comunica a los proveedores las exigencias de ciberseguridad que se precisan, pero que ellos también han de supervisar. La cadena de suministro debe garanti- zarse y los proveedores tienen que ase- gurar que los subcontratistas conocen y cumplen las medidas de ciberseguridad precisadas. Por otro lado, es esencial mantener una evaluación continua de los provee- dores para garantizar la diligencia debi- da y retroalimentar los procesos estable- cidos, pero sin duda lo más importante es disponer de procesos y procedimien- tos para gestionar los potenciales inci- dentes que puedan llegar a producirse. Finalmente, es importante establecer una colaboración estrecha con los dis- tintos actores de la cadena de suminis- tro, como fabricantes, distribuidores y clientes finales. Compartir información y trabajar juntos en la mejora de la se- guridad en toda la cadena fortalece la protección de todo el conjunto. La Unión Europea aprobó el año pasa- do la Directiva NIS 2 (sobre protección de las redes y sistemas de la informa- ción), que afecta a diversas entidades. ¿Cuáles son, desde su punto de vista, las novedades más importantes de esta norma? La Directiva NIS 2 representa una actua- lización significativa en el marco legal de ciberseguridad de la Unión Europea, introduciendo cambios importantes en aras de la homogeneización europea. Esta directiva amplía su ámbito de aplicación, abarcando nuevos sectores y servicios digitales y llegando incluso a empresas que, siendo medianas, repre- sentan un papel relevante en la presta- ción de servicios esenciales. Incide con mayor claridad en las me- didas de ciberseguridad que deben con- siderar las entidades esenciales e impor- tantes en función de análisis de riesgos realistas, para mejorar aspectos como la gestión de incidentes, la seguridad de la cadena de suministro, la formación y la capacitación de los equipos o la seguri- dad desde el diseño, entre otros. Pero sin duda, la responsabilidad de la dirección de las compañías en la implementación de las medidas de ci- berseguridad necesarias es uno de los principales apoyos en el proceso. Asimismo, se establece un marco de supervisión más riguroso y sanciones más severas para los operadores que no cumplan con los requisitos de segu- ridad establecidos. Estos aspectos bus- can garantizar un mayor cumplimiento y promover la ciberseguridad en toda la Unión Europea, así como la coope- ración y coordinación entre los Estados miembros, fortaleciendo así la capaci- dad de respuesta ante incidentes. Teniendo en cuenta otras normas ya aprobadas y otras que están en prepa- ración (DORA, Ciberseguridad en 5G, ciberresiliencia…), ¿qué cuestiones le plantean mayores dudas en cuanto a la trasposición de toda esa normativa al marco jurídico español? La trasposición de las normativas de ci- berseguridad al marco jurídico español puede presentar algunos desafíos rele- vantes. El primero es asegurar la coherencia y armonización de las diferentes nor- mativas, tanto a nivel europeo como nacional. Es importante evitar contra- dicciones y superposiciones entre las regulaciones para garantizar un marco jurídico claro y consistente. Por otro lado, la ciberseguridad está en constante evolución, lo que implica que las normativas deben ser lo sufi- cientemente flexibles como para adap- tarse a los avances tecnológicos y las nuevas amenazas. Esto requiere una revisión continua de las regulaciones existentes y la capacidad de actualizar- las de manera oportuna. La implementación efectiva de la nor- mativa también requiere de recursos y capacidades adecuados por parte de las organizaciones y las autoridades competentes. Esto puede plantear desa- fíos en términos de asignación de pre- supuestos, formación del personal y co- laboración entre diferentes entidades. Finalmente, la ciberseguridad es un desafío que involucra tanto al sector público como al privado. Por lo tanto, la trasposición de la normativa al marco jurídico español debe fomentar la co- laboración y la participación activa de ambas partes para garantizar una im- plementación efectiva y una protección adecuada.