La Agencia de Ciberseguridad de la Unión Europea, ENISA, ha publicado su informe NIS360 2024, un análisis detallado sobre el estado de la ciberseguridad en los sectores críticos de la economía europea, regulados por la directiva NIS2.
El estudio identifica brechas significativas en la seguridad digital de sectores estratégicos, como la administración pública, el sector sanitario, los servicios TIC gestionados, el sector marítimo y el gas, los cuales han sido catalogados en la «zona de riesgo» debido a su alta criticidad y baja madurez en ciberseguridad.
Sectores críticos con diferentes niveles de madurez
El informe, elaborado con datos de autoridades nacionales, empresas del sector y organismos europeos como Eurostat, evalúa la madurez y el nivel de riesgo de los principales sectores estratégicos de la UE.
Según el análisis de ENISA, tres sectores destacan por su alto nivel de madurez y resiliencia ante ciberataques:
- Electricidad
- Telecomunicaciones
- Banca
Estos sectores han logrado avanzar en su protección digital gracias a una regulación estricta, inversiones en ciberseguridad y colaboración público-privada, lo que les ha permitido mitigar eficazmente los riesgos. Sin embargo, el informe también pone de relieve sectores con altos niveles de criticidad pero con baja madurez en ciberseguridad, lo que los convierte en objetivos atractivos para ciberataques. Entre ellos se encuentran:
- Administración pública: Vulnerable a ataques de hacktivismo y ciberespionaje.
- Sector salud: Con un aumento en la superficie de ataque debido a su expansión bajo la directiva NIS2.
- Sector espacial: Afectado por bajos niveles de inversión en ciberseguridad y dependencia de tecnologías comerciales de terceros.
- Servicios TIC gestionados (MSP y MSSP): Claves para múltiples sectores, pero aún con una supervisión fragmentada.
- Sector marítimo: Necesita regulaciones específicas y mejores protocolos de seguridad en infraestructura portuaria y flotas.
- Gas: Aunque ha mejorado en respuesta a incidentes, sigue siendo un sector expuesto.
Mayor protección para seis sectores estratégicos
Tras identificar los sectores críticos con mayor riesgo, ENISA recomienda medidas urgentes para fortalecer la seguridad digital de los mismos. Entre las principales propuestas, el informe destaca:
- Servicios TIC gestionados (MSP y MSSP): Implementar una supervisión armonizada y garantizar la compatibilidad con la normativa DORA.
- Sector espacial: Mejorar la concienciación en ciberseguridad, realizar pruebas de seguridad en componentes y fomentar la cooperación con el sector de telecomunicaciones.
- Administración pública: Fomentar el uso de modelos de servicios compartidos y aprovechar los fondos del Cyber Solidarity Act.
- Sector marítimo: Diseñar exámenes de ciberseguridad específicos para el transporte marítimo y realizar simulaciones de crisis.
- Sector salud: Crear guías para la compra segura de productos y servicios tecnológicos y reforzar la capacitación del personal médico en ciberseguridad.
- Gas: Desarrollar planes de respuesta ante ciberincidentes a nivel nacional y de la UE, con mayor cooperación con los sectores eléctrico e industrial.
Los retos de la infraestructura digital y los sectores tradicionales
El informe NIS360 2024 también subraya los desafíos en la infraestructura digital, que aunque ha mostrado avances, enfrenta dificultades debido a su naturaleza transfronteriza y la inclusión de nuevas entidades reguladas.
Asimismo, sectores tradicionales como el transporte y el agua presentan una gran disparidad en sus niveles de ciberseguridad. En el sector del transporte, por ejemplo, la aviación es el más avanzado, mientras que el ferrocarril, el transporte marítimo y el sector de carreteras siguen rezagados.