KRITIS energy suppliers: seguridad informática en el sector energético

CONTENIDO

• Vectores de ataque para los proveedores de energía KRITIS
• Escenarios de amenazas en el sector energético
• Requisitos a escala de la UE
• Requisitos a nivel federal
• Sistemas de gestión de la seguridad de la información: ¿Para qué sirven a los proveedores de energía?
• Medidas adicionales para la seguridad de la información
• Proveedores de energía KRITIS: resumen

Vectores de ataque para los proveedores de energía KRITIS

En el contexto del suministro de energía, la resistencia a los vectores de ataque contra los sistemas informáticos y OT (tecnología operativa) es clave. Aunque los sistemas centralizados de control y supervisión aumentan la eficacia y la seguridad en la gestión de estos sistemas, también crean puntos potenciales de ataque. Un ataque único y bien coordinado contra estos sistemas centralizados de control de la red puede afectar en cascada a las redes de suministro de energía en su conjunto o en parte.

La seguridad de las redes de comunicación es especialmente crítica. Un ataque dirigido contra estas redes no sólo podría perturbar el control y la supervisión de la distribución de energía, sino también provocar fallos de gran alcance en el suministro energético. Por lo tanto, es esencial invertir en la seguridad y resistencia de estos sistemas de comunicación para garantizar la integridad y disponibilidad de la infraestructura energética.

La amenaza de ciberataques contra los proveedores de energía y otras infraestructuras críticas es especialmente relevante, ya que tiene un impacto directo en la seguridad y el bienestar públicos. La concienciación mundial sobre esta amenaza ha aumentado significativamente desde el apagón a gran escala que se produjo en Ucrania en diciembre de 2015, causado por un ciberataque. La importancia estratégica de la seguridad de la información y su integración en la cultura organizativa de los proveedores de energía es indiscutible desde entonces.

Es esencial un enfoque proactivo que considere todos los escenarios de riesgo concebibles para las infraestructuras críticas. Esto incluye el análisis cuidadoso de las amenazas potenciales y la aplicación de medidas para minimizar los riesgos y prepararse para posibles situaciones de emergencia.

Escenarios de amenaza en el sector energético

En tiempos de crecientes tensiones y conflictos geopolíticos, acompañados de los desafíos particulares del sector del suministro energético, las ciberamenazas maliciosas y motivadas por el Estado, especialmente contra los proveedores de energía, están en constante aumento. Solo en 2022, los daños causados por ciberataques a empresas alemanas se estimaron en 200.000 millones de euros. Los ataques contra infraestructuras críticas y el sector energético en particular han aumentado a un ritmo alarmante en las economías democráticas en los últimos años. A continuación encontrará algunos ejemplos:

En comparación con Colonial Pipeline, los ejemplos alemanes de esta lista se limitan a sistemas informáticos pirateados que todavía no han tenido un impacto significativo en el funcionamiento de las redes OT y, por tanto, en las operaciones de la red energética. Por lo tanto, la normativa europea y los requisitos nacionales que la Agencia Federal de Redes, en coordinación con la Oficina Federal de Seguridad de la Información (BSI), especificó ya en 2015 para protegerse contra las amenazas al funcionamiento seguro de la red parecen estar cumpliendo su propósito, al menos parcialmente.

Con la dinámica evolución de las tecnologías de la información, los atacantes desarrollan constantemente nuevos métodos para infiltrarse en sistemas y redes. En este contexto, es esencial que los proveedores de energía revisen continuamente sus medidas de seguridad y realicen los ajustes oportunos de acuerdo con la normativa más reciente.

Proveedores de energía KRITIS: requisitos a nivel de la UE

Ya en 2016, la Unión Europea publicó la Directiva NIS (Network and Information Security Directive) como parte de su estrategia de ciberseguridad, desarrollando así un amplio conjunto de normas para la ciberseguridad de las infraestructuras críticas. El objetivo del legislador europeo es proteger mejor el mercado interior proporcionando un marco normativo para un alto nivel común de ciberresiliencia. La Directiva NIS2 revisada entró en vigor en enero de 2023, y los Estados miembros de la UE deben transponerla a la legislación nacional antes de octubre de 2024.

La directiva revisada amplía el número de organizaciones que entran en su ámbito de aplicación para incluir los nuevos "sectores especialmente importantes" y "sectores importantes". En el sector energético, los operadores de KRITIS prestan cuatro servicios críticos para abastecer al público en general con energía procedente de las fuentes de electricidad, gas, petróleo y calefacción urbana. La Directiva NIS2 les proporciona un amplio paquete de requisitos de seguridad ampliados.

Las obligaciones existentes para los operadores KRITIS en virtud de la Ley BSI siguen siendo esencialmente las mismas, pero en algunos casos se definirán con mayor precisión, se harán más estrictas y se reestructurarán. Entre ellas se incluyen medidas obligatorias sobre/para ...

• Gestión de riesgos
• Formación para directivos
• Normas para notificar incidentes de seguridad
• Mantenimiento de las operaciones tras una emergencia
• gestión de crisis

En el aspecto técnico, también se han ampliado los requisitos aplicables prescritos por la Directiva SRI. Los operadores están obligados a implantar controles de acceso, cifrar la información de forma más estricta, realizar sistemáticamente copias de seguridad de los datos y garantizar una gestión técnica y sistémica segura de las vulnerabilidades dentro de la arquitectura informática.

Otras novedades importantes de la NIS 2 son la ampliación de la atención a las cadenas de suministro -que hace que la Directiva sea relevante para un grupo mucho más amplio de empresas- y la responsabilidad personal de los órganos de dirección, que por fin convierte la ciberseguridad en una prioridad absoluta.

Proveedores de energía KRITIS: requisitos a nivel federal

Un año antes de la primera versión de la NIS, la BSI (Oficina Federal de Seguridad de la Información) publicó la Ley de Seguridad Informática (IT-SiG), que es en gran medida idéntica en sus objetivos y también proporciona un catálogo de medidas técnicas y organizativas para infraestructuras críticas.

Tras su revisión, la Ley de Seguridad Informática 2. 0 entró en vigor en mayo de 2021 y amplía significativamente la normativa alemana KRITIS de 2015. Esto significa, por ejemplo, que el uso de los llamados sistemas de detección de ataques es obligatorio a partir del 1 de mayo de 2023. En consecuencia, los operadores regulados en el contexto de la BSIG y la EnWG deben implantar un sistema de detección de ataques (SzA) para detectar a tiempo anomalías y ataques a los sistemas de tecnología de la información mediante herramientas técnicas y medidas organizativas y adoptar medidas. La IT-SiG 2.0 prevé algunos cambios en la directiva NIS2 con sectores adaptados y más obligaciones de información y cooperación.

La Agencia Federal de Redes ha elaborado dos catálogos de seguridad de TI (IT-SiKat) específicos para la industria energética en consulta con la BSI:

• el IT-SiKat de conformidad con la Sección 11 (1a) EnWG se aplica a los operadores de redes de suministro de energía desde 2015,
• el IT-SiKat de conformidad con la Sección 11 (1b) EnWG se publicó en diciembre de 2018 para los operadores de sistemas de energía (generación).

Los dos catálogos de seguridad de TI establecen los requisitos mínimos para la protección contra las amenazas a las telecomunicaciones y los sistemas electrónicos de procesamiento de datos que son necesarios para el funcionamiento seguro de la red y el funcionamiento de las centrales energéticas.

Los catálogos de seguridad informática contienen la obligatoriedad de implantar un sistema de gestión de la seguridad de la información (SGSI ), que ancle de forma estratégica y holística la protección de la información. Este debe implantarse de acuerdo con los requisitos y principios de la norma ISO 27001, reconocida internacionalmente. La tercera edición de la norma ISO 27002:2022 revisada, con sus recomendaciones de aplicación, deberá tenerse en cuenta en las auditorías a más tardar el 1 de marzo de 2024.

La norma ISO 27019, que se aplica específicamente al sector energético, también amplía los requisitos del SGSI para incluir medidas de seguridad de la información para el suministro de energía. La implantación del IT-SiKat debe confirmarse a la BNetzA mediante la presentación de un certificado de una empresa de certificación acreditada.

En junio de 2023, DQS fue uno de los primeros organismos de certificación en Alemania en ser acreditado por el Organismo Alemán de Acreditación(DAkkS) para certificar no sólo a los operadores de red (IT-SiKat § 11 párrafo 1a EnWG), sino también a los operadores de sistemas de energía de acuerdo con el catálogo de seguridad de TI § 11 párrafo 1b EnWG (12/2018).

Sistemas de gestión de la seguridad de la información: ¿Qué hacen por los proveedores de energía?

Un sistema de gestión sólido, por ejemplo de acuerdo con la norma ISO 27001, proporciona una visión completa del estado actual de la seguridad de TI y la seguridad de la información en una empresa. Al procesar y mostrar claramente toda la información en un sistema, es más fácil para la dirección tomar decisiones sobre medidas de seguridad para una infraestructura crítica basándose en esta información.

Los responsables de seguridad también son conscientes de los peligros potenciales en una fase más temprana. También ayuda a las empresas de servicios públicos a cumplir su obligación de aportar pruebas a los sistemas, por ejemplo para la detección de ataques.

Un sistema de gestión eficaz y en continuo desarrollo ofrece

• una visión permanente de la situación de riesgo actual de la empresa
• la detección precoz de amenazas y peligros potenciales
• la oportunidad de utilizar la información obtenida para adoptar medidas adecuadas de tratamiento de riesgos
• la oportunidad de identificar los riesgos y mitigarlos utilizando los métodos del sistema de gestión.
• prueba ante las autoridades supervisoras del cumplimiento de los requisitos de conformidad con la normativa legal pertinente(IT-SiG 2.0, EnWG, BSIG).

Para implantar un SGSI específico, los responsables deben tener claro de antemano qué información es relevante para la actividad de la empresa, qué riesgos existen para estos activos de información y cómo se pueden contrarrestar estos riesgos.

Los proveedores de energía, por ejemplo, están obligados a garantizar el correcto funcionamiento de sus sistemas de telecomunicaciones y procesamiento de datos. En el contexto del SGSI, es necesario evaluar los riesgos que plantean los ataques basados en las TIC y abordarlos con medidas de protección adecuadas para los sistemas de telecomunicaciones y de procesamiento de datos pertinentes. Sobre esta base, pueden iniciarse los siguientes pasos activos.

Medidas adicionales para mantener la seguridad de la información

La funcionalidad del suministro de energía depende de la disponibilidad de una tecnología de la información y la comunicación (TIC) intacta. Esto significa que los sistemas de TIC y los procedimientos y procesos apoyados por TIC utilizados deben estar bajo control en todo momento y que los fallos técnicos pueden ser reconocidos como tales y rectificados o que su rectificación puede garantizarse de alguna otra manera.

Por lo tanto, los proveedores de energía deben ser capaces de reaccionar inmediatamente ante situaciones de emergencia y crisis imaginables. El sistema de gestión de la seguridad de la información de una empresa de servicios públicos apoya las medidas para hacer frente a situaciones de crisis. Sin embargo, también se recomienda la implantación de un sistema de gestión de la continuidad del negocio (sistema BCM) conforme a la norma ISO 22301, ya que refuerza adicionalmente la resistencia de las infraestructuras críticas y mantiene el rendimiento durante las operaciones de emergencia.

La BSI proporciona un catálogo de requisitos para operadores de infraestructuras críticas (operadores KRITIS) que especifica los requisitos de la Sección 8a (1) BSIG. En las denominadas "normas de seguridad específicas del sector" (B3S) se especifican otros requisitos de seguridad o precauciones de seguridad adecuados para cumplir la Sección 8a (1) BSIG para un ámbito de aplicación definido. Contienen especificaciones para un "estado del arte" específico del sector que los operadores del sistema deben aplicar a las TIC de su respectivo servicio crítico (SCS).

Aunque la combinación del SGSI, el sistema BCM y el cumplimiento de todas las normas no puede evitar un ciberataque, estos factores contribuyen significativamente a un alto nivel de prevención de riesgos para los sistemas e instalaciones de los proveedores de energía de KRITIS. Un sistema de gestión de la seguridad de la información conforme a las normas ISO 27001 e ISO 27019 aumenta en gran medida las posibilidades de reconocer un riesgo potencial en una fase temprana y poder actuar rápidamente en consecuencia.

Proveedores de energía KRITIS: un resumen

Un fallo en el suministro energético podría paralizar áreas clave de nuestra sociedad y servicios esenciales en muy poco tiempo. Esta situación entraña riesgos considerables, especialmente si las empresas que gestionan infraestructuras críticas (KRITIS) son vulnerables. Esto puede tener consecuencias graves y peligrosas para la vida social.

Con el fin de reforzar la seguridad de la información y establecer unas normas mínimas, los legisladores europeos y nacionales están estableciendo un amplio marco normativo. Este incluye requisitos específicos del sector y de aplicación general que pretenden ayudar a las organizaciones a reducir y gestionar eficazmente los riesgos para la seguridad de la información. Por ello, la seguridad de la información y un sistema de gestión debidamente implantado son herramientas importantes para que los proveedores de energía garanticen el máximo nivel de seguridad posible como operador KRITIS y cumplan las normas de seguridad específicas del sector.

DQS - Podemos hacer algo por usted

DQS está especializada en auditorías y certificaciones de sistemas y procesos de gestión. Con más de 35 años de experiencia y los conocimientos de 2.500 auditores, la empresa de Fráncfort del Meno es un socio competente para la gestión. Realizamos auditorías según unas 200 normas y reglamentos reconocidos o según los requisitos específicos de su empresa, a escala regional, nacional e internacional.

Laimparcialidad y la objetividad son elementos esenciales para nosotros a la hora de realizar auditorías y certificaciones. Y esto no sólo se aplica a los ámbitos normativos, sino también a la realización de todas las actividades de auditoría, incluida la B3S Energy.

Estaremos encantados de ayudarle si desea certificar el sistema de gestión de la seguridad de la información de su empresa u organización o si necesita apoyo para cumplir los requisitos normativos y los catálogos de seguridad. Estamos deseando hablar con usted. Póngase en contacto con nosotros.

Confianza y experiencia

Nuestros textos y libros blancos están redactados exclusivamente por nuestros expertos en normas o auditores de larga trayectoria. Si tiene alguna pregunta sobre el contenido del texto o sobre nuestros servicios al autor, envíenos un correo electrónico.

Nota: Por razones de mejor legibilidad, utilizamos el masculino genérico. No obstante, la directiva incluye a personas de todas las identidades de género cuando sea necesario para la declaración.