En comparación con Colonial Pipeline, los ejemplos alemanes de esta lista se limitan a sistemas informáticos pirateados que todavía no han tenido un impacto significativo en el funcionamiento de las redes OT y, por tanto, en las operaciones de la red energética. Por lo tanto, la normativa europea y los requisitos nacionales que la Agencia Federal de Redes, en coordinación con la Oficina Federal de Seguridad de la Información (BSI), especificó ya en 2015 para protegerse contra las amenazas al funcionamiento seguro de la red parecen estar cumpliendo su propósito, al menos parcialmente.
Con la dinámica evolución de las tecnologías de la información, los atacantes desarrollan constantemente nuevos métodos para infiltrarse en sistemas y redes. En este contexto, es esencial que los proveedores de energía revisen continuamente sus medidas de seguridad y realicen los ajustes oportunos de acuerdo con la normativa más reciente.
Proveedores de energía KRITIS: requisitos a nivel de la UE
Ya en 2016, la Unión Europea publicó la Directiva NIS (Network and Information Security Directive) como parte de su estrategia de ciberseguridad, desarrollando así un amplio conjunto de normas para la ciberseguridad de las infraestructuras críticas. El objetivo del legislador europeo es proteger mejor el mercado interior proporcionando un marco normativo para un alto nivel común de ciberresiliencia. La Directiva NIS2 revisada entró en vigor en enero de 2023, y los Estados miembros de la UE deben transponerla a la legislación nacional antes de octubre de 2024.
La directiva revisada amplía el número de organizaciones que entran en su ámbito de aplicación para incluir los nuevos "sectores especialmente importantes" y "sectores importantes". En el sector energético, los operadores de KRITIS prestan cuatro servicios críticos para abastecer al público en general con energía procedente de las fuentes de electricidad, gas, petróleo y calefacción urbana. La Directiva NIS2 les proporciona un amplio paquete de requisitos de seguridad ampliados.
Las obligaciones existentes para los operadores KRITIS en virtud de la Ley BSI siguen siendo esencialmente las mismas, pero en algunos casos se definirán con mayor precisión, se harán más estrictas y se reestructurarán. Entre ellas se incluyen medidas obligatorias sobre/para ...
- Gestión de riesgos
- Formación para directivos
- Normas para notificar incidentes de seguridad
- Mantenimiento de las operaciones tras una emergencia
- gestión de crisis
En el aspecto técnico, también se han ampliado los requisitos aplicables prescritos por la Directiva SRI. Los operadores están obligados a implantar controles de acceso, cifrar la información de forma más estricta, realizar sistemáticamente copias de seguridad de los datos y garantizar una gestión técnica y sistémica segura de las vulnerabilidades dentro de la arquitectura informática.
Otras novedades importantes de la NIS 2 son la ampliación de la atención a las cadenas de suministro -que hace que la Directiva sea relevante para un grupo mucho más amplio de empresas- y la responsabilidad personal de los órganos de dirección, que por fin convierte la ciberseguridad en una prioridad absoluta.