La desventaja de los problemas de NIS2
Dentro de un año, NIS2 hará explotar el número de organizaciones sujetas a obligaciones de ciberseguridad. Y permitirá a los grandes fabricantes, ya afectados por restricciones regulatorias en la materia, proteger mejor sus cadenas de subcontratación.
En poco más de un año, el 17 de octubre de 2024, se espera que la directiva europea NIS2, adoptada por el Consejo de la UE a finales de 2022, se transponga al derecho francés. Una prórroga de la primera directiva ISR, de 2016, supone una ampliación de las organizaciones cubiertas por obligaciones en materia de ciberseguridad, por su actividad considerada fundamental para el funcionamiento de la sociedad. Lo ajustado del calendario llevó a Hexatrust, una asociación que reúne a actores de seguridad franceses y europeos, a organizar una mesa redonda sobre el tema, durante su universidad de verano, que tuvo lugar el 19 de septiembre en París. En realidad, el impacto de la futura directiva, que distingue dos categorías de actores (entidades esenciales y entidades importantes) sujetos a obligaciones proporcionales a la criticidad de sus actividades, variará ampliamente dependiendo del nivel actual de protección implementado por cada organización.
Así, para una empresa industrial como Airbus, la directiva aparece como una extensión de los esfuerzos ya realizados hasta ahora, bajo la presión de textos como la primera versión de la NIS o la LPM (Ley de Programación Militar de 2013, que identifica los servicios operadores de vital importancia). "La directiva no aumenta las dificultades a las que nos enfrentamos", afirma Vincent Seruch, director técnico de OT de Airbus Protect. Se trata siempre de realizar intervenciones de seguridad en sistemas muy operativos. » Para este especialista en sistemas operativos, la agenda del próximo año sigue marcada por trabajar en la convivencia de la cibernética con las operaciones, incluyendo aspectos muy prácticos como la integración de las operaciones técnicas en los calendarios de planificación de la producción. “Estamos lejos de haber terminado con estos asuntos. Por eso es importante mantener el impulso, esta es una de las contribuciones de NIS2. »
“Digitalizarlo todo significa protegerlo todo”
La observación es similar en Framatome, también ya abordada en textos anteriores. "La restricción de proteger objetos físicos ya está integrada en nuestra organización", afirma Thomas Epron, vicepresidente senior de la empresa nuclear. NIS2 es una continuación de lo que ya estamos haciendo. Sin embargo, será necesario reforzar nuestras prácticas, lo que nos obligará a examinar de cerca nuestros sistemas de automatización, que tendremos que corregir sin interrumpir el servicio. » Una gimnasia para la que hoy en día pocas empresas industriales están realmente preparadas y que requiere la implementación de procesos específicos, como las pruebas de no regresión. “Porque, sobre todo, hay que evitar que la máquina se pare o cometa errores”, continúa Thomas Epron. Además, para este último se debe tener en cuenta la extensión del perímetro a proteger.
“Desde hace varios años, la orden de la administración general es digitalizarlo todo. A su vez, esto significa que hay que protegerlo todo, incluida la válvula más pequeña que incorpora un controlador electrónico. Ahora encontramos códigos informáticos por todas partes y, por tanto, puntos débiles por todas partes. » Para Thomas Epron, fue esta creciente digitalización la que llevó a Framatome, especializada principalmente en el mantenimiento de instalaciones nucleares, a “lanzarse de cabeza” al tema. Sin olvidar pensar en la dimensión relativa al control del código desplegado en los sistemas operativos, de ahí las nociones de soberanía sobre este código. Una expectativa cada vez más común en las grandes empresas, afirma Luc d'Urso, director general de la editorial de herramientas de protección de datos Atempo. "Decidimos publicar todo nuestro código en Francia, lo que tiene un coste importante, ya que el coste de un desarrollador allí es de 100.000 euros al año, frente a los 20.000 en la India", afirma.
Involucrar múltiples niveles de proveedores
En un sector completamente diferente, Patrick Guyonneau, director de seguridad del grupo Orange, confirma esta ampliación del perímetro a proteger y la creciente complejidad del ejercicio: “con las API o la virtualización de las funciones de red, los sistemas son cada vez más abiertos. La pregunta no es si un ataque tendrá éxito, sino cuándo. Esto nos lleva a trabajar en nuestras funciones de gestión de crisis y a pensar interorganizativamente, es decir, en nuestras relaciones con los Estados, los subcontratistas u otros operadores. » Condiciones que vuelven a colocar el PCA/PRA, y los ejercicios que apuntan a validar su efectividad, en el centro del juego.
Si para Airbus o Framatome NIS2 parece ser una prolongación de los esfuerzos ya realizados, “para otros fabricantes, ¡todo debe estar hecho en el plazo de un año! », desliza Vincent Seruch. De hecho, el SRI2 se extiende a 35 sectores de actividad (incluidas las administraciones públicas) y a actores de todos los tamaños, mientras que la primera versión identificaba sólo 6 sectores de la economía en cuestión. "Casi todos nuestros clientes están sujetos a esto", señala Jérôme Lecat, director general del proveedor de software de almacenamiento de datos Scality. Y tendrán que cumplir obligaciones en materia de gestión de incidencias, divulgación de las mismas, pruebas y auditorías de seguridad o incluso seguridad de su cadena de suministro. Un último elemento acogido muy favorablemente por las organizaciones ya cubiertas por los textos anteriores, la extensión ricochet que diseña NIS2, que permite a sus proveedores participar en varios niveles. Una garantía interesante sobre el papel, en un momento en el que muchos ataques tienen como objetivo a los subcontratistas para entrar en empresas altamente protegidas. Recientemente, Airbus fue víctima de un robo de datos provocado por la infección del ordenador de un empleado de la aerolínea turca Turkish Airlines con malware.
Si NIS2 pone en primer plano el tema cibernético, no debemos perder de vista la cuestión en su totalidad, advierte el director de Protección y Seguridad del Estado, Nicolás de Maistre, que pide a las empresas que inicien una reflexión global sobre su seguridad. “NIS2 y otra directiva llamada REC (para la resiliencia de las entidades críticas, nota del editor) se negociaron al mismo tiempo, durante la presidencia francesa de la UE, con el deseo de vincular las cuestiones de seguridad física y cibernética. » “Los dos temas ya no pueden separarse”, confirma Patrick Guyonneau, de Orange. ¡No tiene sentido cifrar datos si los empleados conversan abiertamente en el bar de enfrente! La convergencia de los dos temas nos ayuda a ser más coherentes con nuestros empleados. » Coherencia que se consigue a costa de una avalancha de textos reglamentarios: NIS2 y REC deben transponerse simultáneamente a la legislación francesa.
Para leer contenido relacioanado a "La desventaja de los problemas de NIS2" puedes ingresar a la categoría Actualidad.
Deja una respuesta
Contenido relacionado