Directiva NIS2: Regulación clave sobre ciberseguridad en la UE que también afectará a la industria agroalimentaria

En el actual contexto de inestabilidad geopolítica donde se ha extendido el uso de tácticas de guerra asimétrica como son los ataques informáticos, la Unión Europea ha actualizado la Directiva de las Redes y Sistemas de Información (NIS2) cuyo objetivo es proteger las infraestructuras críticas y establecer un marco regulatorio más sólido, seguro y resiliente en materia de ciberseguridad armonizado en toda la UE. En este sentido, todos los estados miembros han de incorporar la nueva directiva a su legislación nacional antes del 17 de octubre de 2024.

Precisamente, una de las principales novedades de la NIS2 es la ampliación del ámbito de aplicación a más sectores, entre ellos la producción, transformación y distribución de alimentos.

Y es que los crecientes riesgos que plantean la digitalización, las nuevas tecnologías y el aumento de los ciberataques, cada vez más sofisticados y de mayor magnitud, representan una grave amenaza para todas las actividades industriales. Solo en nuestro país, el 94% de las empresas españolas reconoce haber sufrido algún incidente en materia de ciberseguridad en el último año[1].

Además del coste económico para la recuperación de los sistemas y datos, un ciberataque puede tener otras consecuencias graves para la organización, como la pérdida de reputación y confianza de los clientes; un potencial impacto legal si se han robado datos personales que debían estar protegidos y la pérdida de productividad y financiera para la organización. Y es que un ciberataque exitoso puede paralizar una empresa durante días o semanas.Se calcula que una sola hora de inactividad en la producción de una pequeña fábrica de alimentos y bebidas cuesta 23.000€ [2]. En plantas de producción de mayor envergadura, el impacto económico puede ser exponencial.

¿Qué hay de nuevo con respecto a la NIS1?

Más sectores afectados: La NIS2 amplía significativamente el número de sectores cubiertos dentro del ámbito obligatorio de aplicación con distinción entre sectores de alta criticidad - entre los que contempla energía, banca, infraestructuras de mercados financieros, sector sanitario, transporte, infraestructura digital, aguas potables, aguas residuales, administración pública (con exclusión del poder judicial, parlamentos y bancos centrales), gestión de servicios TIC y espacio - y otros sectores críticos: alimentación, investigación, química, servicios postales, proveedores digitales, fabricación y gestión de residuos. Además de proporcionar más información sobre las entidades que deberán estar sujetas a los requisitos de ciberseguridad.

Requisitos más estrictos: En comparación con la versión previa de la normativa, la NIS2 introduce un conjunto de medidas obligatorias más riguroso y estricto que incluye, entre otras, políticas de seguridad de los sistemas de información, análisis de riesgos, prácticas de ciber higiene, formación en ciberseguridad y soluciones de autenticación multifactorial y continua y nuevos requisitos relativos a la privacidad.

Repercusiones más severas: Los Estados miembros deben implementar sistemas que prevean sanciones efectivas, proporcionadas y disuasorias más severas que en la NIS1. En caso de incumplimiento, las multas pueden ascender hasta 10 millones de euros o el 2% de la facturación anual mundial de la organización para las entidades esenciales y hasta un 1,4% del volumen de negocios anual o 7 millones de euros para las entidades importantes.

¿Cómo pueden los productores de alimentos y bebidas proteger su sistema y su negocio?

Además de su obligatoriedad por directiva europea a partir de octubre de 2024, es crucial que las empresas dentro de la cadena de valor alimentaria tomen medidas preventivas y soluciones de ciberseguridad para protegerse de futuros ciberataques y blindar sus plantas de producción. Para ello, es recomendable:

• 1) Identificar si su empresa se ve afectada por NIS2.
• 2) Analizar los requisitos de NIS2 (entre los que se incluye poseer una política de seguridad de la información que incluya la prevención, detección y respuesta ante incidentes, y que permita la continuidad del negocio, así como la seguridad de la cadena de suministro) y definir un plan para garantizar su cumplimiento al nivel adecuado antes de la fecha de implantación en octubre de 2024. Tanto para la evaluación de su situación actual como para definir un plan de implementación, puede requerir el apoyo de un socio experto.
• 3) Integrar una mentalidad ciber consciente en toda la organización. Entender la importancia de la ciberseguridad implica priorizar, crear y promover una cultura resistente que esté en alerta y responda a las amenazas potenciales y reales. En este sentido, la ciberseguridad requiere que las personas, los procesos y la tecnología se alineen para proteger las redes y las organizaciones de los ciberataques. Por ello, es fundamental educar a los empleados sobre la naturaleza y el lenguaje de los ciberataques y crear una organización interna capaz de proteger los activos, detectar las intrusiones y responder a los incidentes.
• 4) Establecer políticas y mecanismos de gobernanza eficaces para supervisar y revisar el cumplimiento. También es importante arraigar las políticas, las normas y los procesos en la organización para que el enfoque no cambie a medida que los empleados cambian. Por último, es necesario adoptar una cultura flexible de mejora continua para mantener un alto nivel de resiliencia y preparación.

Referencias:
1. El estado de la ciberseguridad en España. Deloitte 2023.
2. Datos proporcionados por un productor de refrescos, cliente de Tetra Pak en Europa.