Empresas Premium
Un artículol de Álvaro Gómez del Pino, ingeniero industrial especializado en automática y electrónica y Manager de Digital Solutions & Infrastructure en Tetra Pak Iberia.
En el actual contexto de inestabilidad geopolítica donde se ha extendido el uso de tácticas de guerra asimétrica como son los ataques informáticos, la Unión Europea ha actualizado la Directiva de las Redes y Sistemas de Información (NIS2) cuyo objetivo es proteger las infraestructuras críticas y establecer un marco regulatorio más sólido, seguro y resiliente en materia de ciberseguridad armonizado en toda la UE. En este sentido, todos los estados miembros han de incorporar la nueva directiva a su legislación nacional antes del 17 de octubre de 2024.
Precisamente, una de las principales novedades de la NIS2 es la ampliación del ámbito de aplicación a más sectores, entre ellos la producción, transformación y distribución de alimentos.
Y es que los crecientes riesgos que plantean la digitalización, las nuevas tecnologías y el aumento de los ciberataques, cada vez más sofisticados y de mayor magnitud, representan una grave amenaza para todas las actividades industriales. Solo en nuestro país, el 94% de las empresas españolas reconoce haber sufrido algún incidente en materia de ciberseguridad en el último año[1].
Además del coste económico para la recuperación de los sistemas y datos, un ciberataque puede tener otras consecuencias graves para la organización, como la pérdida de reputación y confianza de los clientes; un potencial impacto legal si se han robado datos personales que debían estar protegidos y la pérdida de productividad y financiera para la organización. Y es que un ciberataque exitoso puede paralizar una empresa durante días o semanas.Se calcula que una sola hora de inactividad en la producción de una pequeña fábrica de alimentos y bebidas cuesta 23.000€ [2]. En plantas de producción de mayor envergadura, el impacto económico puede ser exponencial.
¿Qué hay de nuevo con respecto a la NIS1?
Más sectores afectados: La NIS2 amplía significativamente el número de sectores cubiertos dentro del ámbito obligatorio de aplicación con distinción entre sectores de alta criticidad - entre los que contempla energía, banca, infraestructuras de mercados financieros, sector sanitario, transporte, infraestructura digital, aguas potables, aguas residuales, administración pública (con exclusión del poder judicial, parlamentos y bancos centrales), gestión de servicios TIC y espacio - y otros sectores críticos: alimentación, investigación, química, servicios postales, proveedores digitales, fabricación y gestión de residuos. Además de proporcionar más información sobre las entidades que deberán estar sujetas a los requisitos de ciberseguridad.
Requisitos más estrictos: En comparación con la versión previa de la normativa, la NIS2 introduce un conjunto de medidas obligatorias más riguroso y estricto que incluye, entre otras, políticas de seguridad de los sistemas de información, análisis de riesgos, prácticas de ciber higiene, formación en ciberseguridad y soluciones de autenticación multifactorial y continua y nuevos requisitos relativos a la privacidad.
Repercusiones más severas: Los Estados miembros deben implementar sistemas que prevean sanciones efectivas, proporcionadas y disuasorias más severas que en la NIS1. En caso de incumplimiento, las multas pueden ascender hasta 10 millones de euros o el 2% de la facturación anual mundial de la organización para las entidades esenciales y hasta un 1,4% del volumen de negocios anual o 7 millones de euros para las entidades importantes.
¿Cómo pueden los productores de alimentos y bebidas proteger su sistema y su negocio?
Además de su obligatoriedad por directiva europea a partir de octubre de 2024, es crucial que las empresas dentro de la cadena de valor alimentaria tomen medidas preventivas y soluciones de ciberseguridad para protegerse de futuros ciberataques y blindar sus plantas de producción. Para ello, es recomendable: