Guía Práctica para el cumplimiento de NIS2. Especial Industria Agroalimentaria

La Directiva NIS2, el nuevo escudo contra las ciberamenazas.

La Directiva NIS2 es la evolución de la Directiva de Seguridad de Redes y Sistemas de Información (NIS) adoptada en 2016, diseñada para reforzar la ciberseguridad en toda la Unión Europea. Con la transformación digital acelerada y un panorama de amenazas cada vez más complejo, la NIS original ya no era suficiente para abordar los desafíos actuales. Por eso, la Comisión Europea introdujo la NIS2, con un marco de ciberseguridad más robusto y con un alcance ampliado.

La NIS2 tiene como objetivo mejorar la resiliencia cibernética de sectores críticos que sustentan la economía y el bienestar social, asegurando que los países de la UE y las empresas clave estén mejor preparados frente a incidentes de ciberseguridad.

Diferencias clave con la NIS1 original

Ampliación del ámbito: Se incluyen nuevos sectores como el de productos farmacéuticos, residuos, y la fabricación de maquinaria.

Requisitos más estrictos: Aumento de la responsabilidad en ciberseguridad para los consejos de administración y la alta gerencia.

Sanciones más severas: Multas significativas para aquellos que no cumplan con la normativa, llegando a porcentajes elevados de los ingresos anuales de la empresa.

¿A qué empresas y sectores afecta?

“Entidades esenciales” y “entidades importantes” es la forma que usa la NIS 2 para referirse a las compañías y otras organizaciones que deben cumplir con la directiva.

La NIS 2 define las entidades esenciales de la siguiente manera:

  • Compañías que se clasifican como grandes empresas (consulte los criterios en la siguiente sección) y pertenecen a uno de los 11 sectores críticos (enumerados en la tabla más abajo)
  • Prestadores de servicios de confianza
  • Proveedores de servicios de DNS
  • Redes públicas de comunicaciones electrónicas
  • Entidades de la Administración pública
  • Cualquier entidad considerada crítica según la Directiva (UE) 2022/2557 sobre resiliencia de las entidades críticas (CER)
  • Otras entidades especificadas por los Estados miembro

Las entidades importantes son todas las demás organizaciones que no se clasifican como entidades esenciales, pero que cumplen con los 3 criterios mencionados en la sección anterior.

Para más claridad, así es como la UE clasifica a las compañías dependiendo de su tamaño:

  • Microempresas y pequeñas empresas — si tienen menos de 50 empleados y menos de 10 millones de euros en ingresos anuales.
  • Empresas medianas — si tienen entre 50 y 250 empleados y entre 10 y 50 millones de euros en ingresos anuales.
  • Grandes organizaciones — si tienen más de 250 empleados y más de 50 millones de euros en ingresos anuales.

Este es un desglose por sectores y subsectores afectados por la directiva NIS2

Energía

  • Electricidad
  • Empresas eléctricas que efectúan la función de ‘suministro’
  • Gestores de la red de distribución
  • Gestores de la red de transporte
  • Productores
  • Operadores designados para el mercado eléctrico
  • Participantes en el mercado de la electricidad
  • Operadores de un punto de    recarga
  • Operadores de sistemas urbanos de calefacción o de refrigeración
  • Operadores de oleoductos de transporte de crudo
  • Operadores de producción de crudo, instalaciones de refinado y tratamiento, almacenamiento y transporte
  • Entidades centrales de almacenamiento

Gas

  • Empresas suministradoras
  • Gestores de la red de distribución
  • Gestores de la red de transporte
  • Gestores de almacenamientos
  • Gestores de la red de GNL
  • Compañías de gas natural
  • Operadores de instalaciones de refinado y tratamiento de gas natural

Hidrógeno

Operadores de producción, almacenamiento y tratamiento de gas natural

Transporte 

Transporte aéreo

  • Compañías aéreas utilizadas con fines comerciales
  • Entidades gestoras de aeropuertos, aeropuertos (incluyendo los aeropuertos de la red básica) y entidades que explotan instalaciones anexas dentro de los recintos de los aeropuertos
  • Operadores de control de la gestión del tráfico que prestan servicios de control del tránsito aéreo

Transporte ferroviario

  • Administradores de infraestructuras
  • Empresas ferroviarias, incluidos los explotadores de instalaciones de servicio

Transporte marítimo y fluvial

  • Empresas de transporte marítimo, fluvial y de cabotaje, tanto de pasajeros como de mercancías, sin incluir los buques particulares explotados por esas empresas
  • Organismos gestores de los puertos, incluidas sus instalaciones portuarias, y entidades que operan obras y equipos que se encuentran en los puertos
  • Operadores de servicios de tráfico de buques (STB)

Transporte por carretera

  • Autoridades viarias responsables del control de la gestión del tráfico, excluidas las entidades públicas para las cuales la gestión del tráfico o la explotación de sistemas de transporte inteligentes sea una parte no esencial de su actividad general
  • Operadores de sistemas de transporte inteligentes

Banca

Entidades de crédito

Infraestructuras de los mercados financieros

  • Gestores de centros de negociación
  • Entidades de contrapartida central (ECC)

Sector sanitario

  • Prestadores de asistencia sanitaria
  • Laboratorios de referencia de la UE
  • Entidades que realizan actividades de investigación y desarrollo de medicamentos
  • Entidades que fabrican productos farmacéuticos de base y especialidades farmacéuticas
  • Entidades que fabrican productos sanitarios que se consideran esenciales en situaciones de emergencia de salud pública

Agua potable

Suministradores y distribuidores de aguas destinadas al consumo humano, excluidos los distribuidores para los que la distribución de aguas destinadas al consumo humano sea una parte no esencial de su actividad general de distribución de otros bienes y productos básicos

Aguas residuales

Empresas dedicadas a la recogida, la eliminación o el tratamiento de aguas residuales urbanas, domésticas o industriales, excluidas las empresas para las que la recogida, la eliminación o el tratamiento de aguas residuales urbanas, domésticas o industriales sea una parte no esencial de su actividad general.

Infraestructura digital

  • Proveedores de puntos de intercambio de internet
  • Proveedores de servicios de DNS, excluidos los operadores de servidores raíz
  • Registros de nombres de dominio de primer nivel
  • Servicios de registro de nombres de dominio
  • Proveedores de servicios de computación en nube
  • Proveedores de servicios de centro de datos
  • Proveedores de redes de distribución de contenidos
  • Prestadores de servicios de confianza
  • Proveedores de redes públicas de comunicaciones electrónicas
  • Proveedores de servicios de comunicaciones electrónicas disponibles para el público
  • Proveedores de servicios gestionados
  • Proveedores de servicios de seguridad gestionados

Administración Pública

  • Entidades de la Administración pública central, tal como se definen en el Estado miembro con arreglo a las disposiciones del Derecho nacional
  • Entidades de la Administración pública a escala regional, según su definición en el Estado miembro con arreglo a las disposiciones del Derecho nacional
  • Entidades de la Administración pública a escala local

Espacio

Operadores de infraestructuras terrestres, cuya propiedad, gestión y explotación descansa en los Estados miembros o en entidades privadas, que apoyan la prestación de servicios espaciales, excepto los proveedores de redes públicas de comunicaciones electrónicas

Servicios Postales y de mensajería

Proveedores de servicios postales, incluidos los proveedores de servicios de mensajería

Gestión de residuos

Empresas que realizan la gestión de residuos, excepto aquellas para las que la gestión de residuos no es su principal actividad económica

Fabricación, producción y distribución de químicos

Empresas que realizan la fabricación de sustancias y la distribución de sustancias o mezclas y empresas que realizan la producción de artículos a partir de sustancias y mezclas

Producción, transformación y distribución de alimentos

Empresas alimentarias que se dediquen a la distribución al por mayor y a la producción y transformación industriales

Fabricación

Fabricación de productos sanitarios y productos sanitarios para diagnóstico in vitro

  • Entidades que fabrican productos sanitarios y entidades que fabrican productos sanitarios para diagnóstico in vitro, excepto las entidades que fabrican productos sanitarios
  • Fabricación de productos informáticos, electrónicos y ópticos
  • Fabricación de material eléctrico
  • Fabricación de maquinaria y equipo n.c.o.p.
  • Fabricación de vehículos de motor, remolques y semirremolques
  • Fabricación de otro material de transporte

Proveedores de servicios digitales

  • Proveedores de mercados en línea
  • Proveedores de motores de búsqueda en línea
  • Proveedores de plataformas de servicios de redes sociales

Investigación

  • Organismos de investigación
  • Centros de enseñanza, en particular cuando lleven a cabo actividades críticas de investigación

Se estima que al menos 100.000 compañías tienen que cumplir con la NIS 2: este número supera con creces al que abarcaba la anterior Directiva NIS. Además de esto, la NIS2 también afecta a entidades esenciales e importantes que ofrecen servicios en cualquier país de la UE, aunque tengan su sede fuera de la Unión Europea.

IMAGEN INCIBE

IMAGEN INCIBE

Las empresas dentro de estos sectores no solo son responsables de sus propios sistemas, sino que también deben gestionar los riesgos relacionados con sus cadenas de suministro y proveedores.

¿Cuándo entró en vigor la NIS2 y cuando aplicará en España?

La Directiva NIS 2 fue aprobada formalmente en noviembre de 2022, publicándose en el Diario Oficial de la UE (DOUE) el 27 de diciembre de 2022, y entró en vigor el 16 de enero de 2023, 20 días después de su publicación en el DOUE.

Los Estados miembros deberán adoptar y publicar las medidas necesarias para dar cumplimiento a lo establecido en la Directiva antes del 17 de octubre de 2024, comunicando de manera inmediata el texto de dichas disposiciones, las cuales resultarán de aplicación a partir del 18 de octubre de 2024.

¿Por qué se ha incluido al sector agroalimentario?

En la actualidad, el sector agroalimentario se considera uno de los sectores más importantes, tratándose de un sector crítico, ya que sin su producción la vida de las personas podrían verse afectada considerablemente.

La digitalización está dando respuesta a los retos técnicos que van surgiendo en este campo poniendo a disposición de las empresas soluciones tecnológicas que dan respuesta, así como información de gran valor a la hora de tomar decisiones sobre cualquier área del negocio, mejorando así la calidad de la gestión de los procesos.

El gran problema de la implementación de estos dispositivos es el aumento de exposición al mundo exterior, que provoca que las posibilidades de sufrir un ciberataque sean mucho más altas.

Exposición real que tiene el sector de la agricultura a sufrir un ciberataque:

Se trata de un sector crítico para la sociedad, lo que, sumado a la tendencia de ciberataques contra la cadena de suministro, lo convierte en un objetivo principal para los ciberdelincuentes.

La baja madurez en ciberseguridad que presenta este sector, como por ejemplo la falta de procedimientos o políticas, provoca que sea más susceptible a los ataques.

Su falta de adaptación a la continua evolución de la tecnología: se trata de un sector más enfocado a la productividad y menos en la ciberseguridad, como, por ejemplo, las comunicaciones entre dispositivos no securizadas, las configuraciones vulnerables de los dispositivos o contar con más servicios expuestos.

En este sector las empresas que lo forman en su mayoría son pymes, micro pymes y autónomos, lo que puede provocar que no tengan suficiente madurez en ciberseguridad.

¿Qué implica para las empresas agrarias?

Las empresas agrarias que están involucradas en la producción de alimentos forman parte de un sector crítico de acuerdo con la NIS2, lo que significa que tienen responsabilidades directas en cuanto a su ciberseguridad.

Esto es especialmente importante en áreas como:

Producción primaria de alimentos: La NIS2 afecta a las empresas que gestionan grandes cantidades de productos alimenticios, como granjas, cooperativas y procesadores agrícolas. Un ataque cibernético que interrumpa la cadena de suministro de alimentos puede tener consecuencias devastadoras tanto para los consumidores como para la economía en general.

Infraestructura crítica de alimentos: Si una empresa agraria está conectada con otras partes de la cadena de suministro de alimentos, como distribuidores, almacenistas o transportistas, deberá asegurarse de que su infraestructura digital esté alineada con las mejores prácticas de ciberseguridad.

Para las empresas agroalimentarias, la normativa NIS2 representa un desafío significativo, pero también una oportunidad para mejorar su resiliencia cibernética y proteger la cadena de suministro de alimentos. Hay que recordar que hay una responsabilidad penal hacia la dirección de empresas y cooperativas que cubre el cumplimiento de la NIS2, por ejemplo en la infección de sistemas de un cliente, por esta razón es previsible que las grandes cadenas de alimentación exijan el cumplimiento de la normativa a todos sus proveedores.

Sin duda el impacto económico también es significativo, cumplir con las exigencias de ciberseguridad no es barato, pero deberían entenderlo como una inversión y no un gasto, ya que es infinitamente más barato prevenir, que costear las consecuencias de un impacto producido por una ataque a sus sistemas, el coste de  sanciones por incumplimiento y las posibles indemnizaciones a partes interesadas implicadas, sin contar con la pérdida de reputación de cara a los mercados europeos.

Al adoptar medidas proactivas y cumplir con los requisitos de la normativa, las empresas no solo evitarán sanciones, sino que también fortalecerán su capacidad para enfrentar las crecientes amenazas cibernéticas y asegurar la continuidad de sus operaciones en un sector vital para la sociedad.

Ejemplos de uso de la tecnología dependiente de ciberseguridad en el sector agroalimentario

Aquí tienes algunos ejemplos de cómo se usa la tecnología dependiente de ciberseguridad en el sector agroalimentario, un sector en el que la digitalización y la automatización crecen rápidamente:

Sistemas de Monitoreo y Control de Cultivos

En las explotaciones agrícolas, se emplean sensores y redes IoT para monitorear variables como la humedad, temperatura y calidad del suelo, lo que permite ajustar el riego y fertilización de manera precisa. Estos sistemas requieren ciberseguridad para proteger los datos de los sensores y evitar posibles accesos no autorizados que puedan alterar los parámetros de control, afectando la producción.

Rastreabilidad y Seguridad Alimentaria

Las empresas usan blockchain para rastrear productos en toda la cadena de suministro, desde la producción hasta la venta. Esta tecnología garantiza la integridad de los datos de origen, transporte y calidad, pero requiere de sistemas de ciberseguridad robustos para evitar que los datos sean manipulados y para asegurar la autenticidad y calidad de los alimentos en su tránsito.

Automatización y Robótica en la Producción

Los robots y sistemas de automatización en fábricas y plantas procesadoras agilizan actividades de embalaje, clasificación y control de calidad. La ciberseguridad es fundamental para prevenir intrusiones que puedan manipular la maquinaria, provocar fallos en la producción o comprometer la seguridad de los empleados.

Sistemas de Gestión de Almacenamiento y Logística

Los sistemas de almacenamiento inteligentes que usan IoT para la gestión de inventarios de productos perecederos dependen de la ciberseguridad para garantizar que las condiciones de temperatura y humedad sean adecuadas y constantes. Un ataque cibernético que altere estos datos podría llevar a la pérdida de grandes cantidades de producto.

Plataformas de Comercio Electrónico y Transacciones

Cada vez más productores del sector agroalimentario venden directamente a través de plataformas digitales. Estas plataformas necesitan protección contra fraudes y accesos no autorizados para garantizar la seguridad de las transacciones y la protección de los datos financieros de sus clientes y proveedores.

Gestión de Datos y Análisis de Big Data

El sector usa big data y análisis predictivo para la toma de decisiones estratégicas, como predecir rendimientos de cultivos, gestionar recursos o planificar la demanda de insumos. La ciberseguridad es crucial para proteger estos datos contra brechas de seguridad, ya que contienen información confidencial que podría ser de gran valor para competidores o criminales.

Drones y Vehículos Autónomos

El uso de drones para inspeccionar cultivos y vehículos autónomos para el transporte de productos es una tendencia emergente. La ciberseguridad es fundamental para evitar que estos dispositivos sean manipulados de forma remota, ya que un ataque podría comprometer tanto la seguridad de las personas como el estado de los productos.

La ciberseguridad en el sector agroalimentario no solo protege los sistemas tecnológicos, sino que también preserva la calidad y seguridad de los alimentos, garantiza la continuidad operativa y protege los datos personales y financieros de todas las partes involucradas en la cadena de valor.

Principales requisitos de la NIS2

Para garantizar la protección de los sectores afectados, la normativa NIS2 impone una serie de requisitos clave que las empresas deben cumplir:

Gestión de riesgos de ciberseguridad

Las organizaciones deben implementar un enfoque basado en la gestión de riesgos para sus sistemas de información y redes.

Esto implica:

Evaluación periódica de vulnerabilidades: Las empresas deben realizar auditorías y evaluaciones de vulnerabilidades que identifiquen riesgos tanto internos como externos.

Esto incluye la revisión de redes, dispositivos y aplicaciones.

Planes de mitigación: Basado en los riesgos identificados, las organizaciones deben desarrollar planes para mitigar estos riesgos, priorizando los activos críticos.

IMAGEN INCIBE

Medidas técnicas y organizativas

La normativa exige la implementación de medidas para garantizar la protección de los datos y las infraestructuras digitales. Entre estas medidas se incluyen:

Autenticación multifactor (MFA): Implementar la autenticación de dos o más factores para acceder a los sistemas críticos.

Cifrado de datos sensibles: Garantizar que los datos en tránsito y en reposo estén protegidos mediante algoritmos de cifrado.

Control de acceso y privilegios: Restringir el acceso a sistemas sensibles únicamente a personal autorizado, siguiendo el principio de “menor privilegio”.

Políticas de actualización y parches: Mantener todos los sistemas actualizados con los últimos parches de seguridad.

Formación contínua: Las organizaciones tienen que entrenar a su personal en ciberhigiene, sensibilización y protección de activos

Gestión de incidentes de ciberseguridad

Las empresas deben ser capaces de detectar, responder y recuperar de incidentes de ciberseguridad:

Planes de respuesta a incidentes: Las organizaciones deben establecer un protocolo claro para responder a ciberataques, asegurando una rápida identificación, contención y recuperación de los sistemas afectados.

Notificación de incidentes: Las empresas deben notificar a las autoridades competentes sobre cualquier incidente grave en un plazo de 24 a 72 horas.

Auditorías y revisiones periódicas: La normativa requiere que las empresas revisen y auditen periódicamente sus políticas y procedimientos de ciberseguridad.

Esto incluye auditorías internas y evaluaciones externas para verificar el cumplimiento de las medidas implementadas.

Plan de continuidad de negocio: Un plan de continuidad de negocio es una colección de procedimientos que establece protocolos y crea sistemas de prevención y recuperación en caso de un ciberataque, desastre natural u otra disrupción empresarial.

IMAGEN INCIBE

Coordinación con autoridades y terceros

La normativa NIS2 enfatiza la importancia de la colaboración con entidades externas:

Colaborar con los CSIRTs: Los Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRTs) son los encargados de coordinar las respuestas a incidentes a nivel nacional, por lo que es crucial estar en comunicación con ellos.

Comunicación con proveedores: Las empresas deben asegurarse de que sus proveedores clave también sigan prácticas de ciberseguridad alineadas con la NIS2.

Consecuencias del incumplimiento

El incumplimiento de la NIS2 puede tener consecuencias severas para las empresas, tanto económicas como reputacionales.

Multas y sanciones

La NIS2 establece multas elevadas por incumplimiento. Estas sanciones pueden alcanzar hasta el 2% de los ingresos anuales globales de la empresa. Además, los directivos pueden enfrentar responsabilidades personales si no garantizan que la empresa cumpla con las medidas de seguridad requeridas.

Pérdida de confianza y reputación

Un ciberataque no gestionado correctamente puede provocar una pérdida de confianza por parte de los clientes, inversores y socios. En sectores esenciales, esto puede traducirse en la pérdida de contratos clave o asociaciones estratégicas.

Costes operativos elevados

Un ciberataque o un incidente mal gestionado puede llevar a importantes costes operativos. Las empresas afectadas pueden sufrir pérdida de datos, tiempos de inactividad prolongados y costes adicionales para restaurar sistemas comprometidos.

Responsabilidad Penal para la dirección

¿Puede una empresa incurrir en un delito penal en una ciberataque? Sí. Una empresa tras un ciberataque puede incurrir en responsabilidad penal, derivada de la comisión de dos posibles delitos, el primero, de daños informáticos a terceros (art. 264 del Código Penal, y el segundo, de revelación de secretos de clientes, proveedores, trabajadores, etc. (art. 197 al art. 200 CP). Y ello sin olvidar la responsabilidad civil subsidiaria de la persona jurídica, tipificada en el art. 120.4 CP”.

¿Cuál es el servicio de cibercompliance que ofrece Lexsuite Consulting para cumplir con NIS2?

Lexsuite Consulting ya trabaja en el sector agroalimentario con sociedades cooperativas, empresas agrarias, de distribución y comercialización de alimentos y de logística de transporte adaptándolas a diversas normativas incluyendo NIS2 para su cumplimiento.

Como consultoría de cumplimiento normativo, trabajamos en el cumplimiento de esta Directiva NIS2 que va allá de la protección de datos personales, con todos las empresas afectadas.

Es cierto que el sector tiene un nivel de ciber protección muy bajo, la mayoría de las organizaciones no disponen ni de un seguro de ciberseguridad, ni de políticas de seguridad y menos aún de planes de continuidad de negocio.

Lexsuite Consulting trabajará mano a mano con nuestros Partner y  su servicio de mantenimiento informático interno o externo.

Creará en función de sus necesidades, las políticas de seguridad que la dirección tiene que aprobar.

Realizará el análisis de vulnerabilidades determinando las distintas amenazas según cada caso.

Analizamos y gestionamos propuestas de ciberseguros.

Reportamos a la dirección las medidas de seguridad necesaria para mitigar los riesgos detectados, es decisión suya implantarlas o no.

Creamos el Protocolo de Actuación en caso de Ciberataque.

Diseñamos un Plan de Continuidad de Negocio.

Dotamos a toda su plantilla de formación en ciber-higiene y seguridad .

Realizamos las auditoría de seguridad periódicas para acreditar el cumplimiento de la normativa

En definitiva, nos encargamos de proteger sus intereses

Si eres responsable de una sociedad cooperativa o una empresa agroalimentaria, ¿vas a ser la próxima víctima de un ciberataque o vas a ponerte en marcha para estar preparado cuando llegue? Estamos para ayudarte

Abrir chat
Hola 👋
¿En qué podemos ayudarte?