La Comisión Europea ha presentado un nuevo conjunto de propuestas para revisar la Ley de Ciberseguridad de la UE, que replantea fundamentalmente cómo los operadores de infraestructuras de tecnología operativa y las empresas deben abordar la ciberseguridad en la jurisdicción de la Unión Europea. Esto no puede considerarse un mero ajuste regulatorio incremental. En cambio, es un cambio estratégico alineado con las realidades cambiantes transmitidas por el entorno de amenazas que rodea al ciberespacio de la UE.  

Algunos de nosotros que hemos pasado décadas en las trincheras de la ciberseguridad industrial, observando cómo los sistemas SCADA evolucionan de islas aisladas por aire a superficies de ataque hiperconectadas, consideramos que esta legislación representa una nueva dimensión regulatoria que necesita un análisis en profundidad. La nueva revisión introduce la desrización obligatoria de la cadena de suministro, marcos acelerados de certificación para el cumplimiento y mecanismos de aplicación significativamente ampliados que obligarán a las organizaciones a repensar fundamentalmente sus arquitecturas de seguridad.

Antes de avanzar, no olvides revisar nuestra publicación anterior del blog sobre "Decodificando la orientación de conectividad OT del NCSC-UK, FBI y CISA: implicaciones estratégicas" aquí.

Pilares centrales de la revisada Ley de Ciberseguridad

Marco de seguridad de la cadena de suministro de TIC: La dimensión geopolítica

Quizás el aspecto más consecuente de la revisión es el establecimiento de un marco horizontal para la seguridad de la cadena de suministro de TIC de confianza en los 18 sectores críticos. Este marco funciona en un enfoque basado en el riesgo que tiene en cuenta las vulnerabilidades técnicas y lo que la legislación denomina "riesgos no técnicos", un eufemismo para dependencias geopolíticas e interferencias extranjeras.

Las implicaciones prácticas son más que claras. Aprovechando el trabajo existente bajo el conjunto de herramientas de seguridad 5G de la UE, la legislación revisada permitirá que se desplieguen medidas obligatorias de desrización donde los proveedores representen preocupaciones significativas de ciberseguridad. Para los operadores de OT, esto significa que sus relaciones con los proveedores ya no pueden tratarse como meras decisiones de adquisición. En cambio, ahora deben realizar evaluaciones y verificaciones estratégicas que deben tener en cuenta:

• Jurisdicción de los proveedores e influencia extranjera: ¿Está el proveedor de SCADA sujeto a marcos legales que podrían obligarlos a comprometer la integridad del sistema o divulgar información?

• Dependencias críticas: ¿Cuenta con una línea de proveedores alternativos si un proveedor de alto riesgo es excluido repentinamente del mercado?

• Cumplimiento retroactivo: La propuesta incluye disposiciones para potencialmente retirar y eliminar productos ya desplegados en la infraestructura de la UE si posteriormente se considera que los proveedores son de alto riesgo.

Esta capacidad de aplicación retroactiva es sin precedentes. Las organizaciones que operan sistemas de control industrial multimillonarios podrían enfrentar renovaciones de infraestructura si sus proveedores son designados posteriormente como de alto riesgo.  

Marco Europeo de Certificación de Ciberseguridad Simplificado (ECCF)

El marco de certificación original era un poco complicado en términos de cumplimiento. Solo un esquema de certificación de la UE se ha adoptado desde que la CSA original se promulgó hace siete años. La Ley revisada introduce cierta simplificación:

• Cronograma de desarrollo de 12 meses: Los esquemas de certificación deben desarrollarse en el plazo de un año por defecto

• Certificación de postura cibernética organizacional: Más allá de los productos y servicios, las organizaciones ahora pueden certificar su postura general de ciberseguridad

• Presunción de conformidad: La certificación ECCF proporcionará presunción de cumplimiento con NIS2 y otras legislaciones de la UE

Las implicaciones del modelo de negocio son significativas. Las organizaciones que se muevan rápidamente para lograr la certificación obtendrán una ventaja competitiva significativa en el mercado de la UE.  

Mandato mejorado de ENISA: De la coordinación a la respuesta operativa

Desde la primera Ley de Ciberseguridad en 2019, ENISA se ha convertido en una piedra angular del ecosistema de ciberseguridad de la UE. La Ley revisada amplía sus capacidades operativas y alcance:

• Sistemas de alerta temprana para amenazas emergentes

• Apoyo directo para la respuesta a incidentes de ransomware en coordinación con Europol y los CSIRT nacionales

• Coordinación de gestión de vulnerabilidades a nivel de la Unión

• Punto único de entrada para la notificación de incidentes en toda la UE

• Academia de Habilidades de Ciberseguridad para abordar la brecha de talento

Para los operadores multinacionales de OT, el papel ampliado de ENISA ofrece una solución potencial al paisaje fragmentado de cumplimiento creado por los diversos grados de implementaciones nacionales de NIS2. En lugar de navegar por 27 regímenes regulatorios diferentes, las organizaciones obtienen un punto de coordinación centralizado.   

Enmiendas de NIS2:

El paquete de la Ley de Ciberseguridad incluye enmiendas específicas a NIS2 que impactan directamente a los operadores de OT:

Simplificación del cumplimiento

Las enmiendas tienen como objetivo garantizar la proporcionalidad en la implementación de la Directiva NIS2 en sectores como la electricidad o los productos químicos, donde se necesita una redacción legal más precisa para definir adecuadamente el alcance de la Directiva. Esto aborda una de las quejas más persistentes de la industria: el lenguaje original de NIS2 a menudo era demasiado amplio o ambiguo para contextos industriales específicos.

Las enmiendas aliviarán las cargas de cumplimiento para aproximadamente 28,700 empresas, incluidas más de 6,000 pymes. Una nueva categoría de "empresas de mediana capitalización" ofrece cierto alivio para otras 22,500 organizaciones.

Ampliación de la cobertura de infraestructura crítica

Las enmiendas aseguran que la infraestructura de cables de datos submarinos, como un tipo de infraestructura cada vez más crítica, esté más ampliamente cubierta por el alcance de la Directiva. Esta expansión reconoce que la infraestructura crítica se extiende más allá de los sectores tradicionales para incluir la columna vertebral de las comunicaciones que sostiene la sociedad digital.

Recolección de datos de ransomware

Los mecanismos simplificados para recopilar y analizar datos de ataques de ransomware permitirán un mejor intercambio de inteligencia de amenazas entre estados miembros. Para los operadores de OT, esto podría traducirse en advertencias más tempranas sobre variantes de ransomware que específicamente apuntan a los sistemas de control industrial. Esto incluye variantes como EKANS que han demostrado la capacidad de anular procesos de ICS.

El desafío único de seguridad de OT

Aquí es donde la teoría colisiona con la realidad operativa. Los sistemas de OT heredados fueron construidos para disponibilidad, no para registros o alertas. La filosofía de diseño fundamental de los sistemas de control industrial priorizó el tiempo de actividad, el comportamiento determinista y el control de procesos físicos, pero no la telemetría de ciberseguridad, la gestión de parches ni la detección de amenazas.

A diferencia de la Tecnología de la Información (TI), que se centra en el procesamiento de datos y la comunicación, la OT se preocupa por las operaciones físicas de maquinaria y procesos. Esta distinción crea desafíos únicos:

Perfiles de riesgo diferentes: Un compromiso del sistema de TI podría exponer datos o interrumpir operaciones comerciales. Un compromiso de OT puede causar daños físicos, desastres ambientales o pérdida de vidas. El cálculo del riesgo es fundamentalmente diferente.

Controles de seguridad incompatibles: Muchos controles de seguridad estándar de TI no se traducen bien a entornos de OT. Mientras que el cifrado es efectivo en redes de TI, su implementación en entornos de OT puede presentar desafíos y proporcionar un menor retorno de inversión debido a las diferentes superficies de riesgo. La latencia introducida por el cifrado puede ser inaceptable para sistemas de control en tiempo real. El MFA puede crear fricción operativa que entra en conflicto con los requisitos de seguridad.

Ciclos de vida prolongados de los activos: Los activos de TI suelen actualizarse cada 3-5 años. Los activos de OT pueden permanecer en producción durante 20-30 años. Un sistema SCADA encargado en 2005 podría seguir controlando infraestructura crítica en 2025, ejecutando Windows XP, careciendo de características básicas de seguridad e imposible de actualizar sin interrupciones extendidas.

Los cinco controles críticos de SANS para ICS

Dean Parsons del Instituto SANS ha identificado cinco controles específicos de ICS que deberían formar la base del cumplimiento de NIS2 para operadores de OT:

• Respuesta a incidentes específica de ICS: Los manuales de respuesta a incidentes genéricos de TI no tienen en cuenta las consideraciones de seguridad física, los requisitos de control de procesos ni la necesidad de mantener la disponibilidad del sistema durante la contención.

• Arquitectura de red defendible: Visibilidad y monitoreo de la red utilizando herramientas especializadas y capacidades de análisis para identificar riesgos potenciales para los sistemas de control y operaciones. Esto significa implementar una segmentación adecuada de la red, DMZs entre redes de TI y OT, y estrategias de defensa en profundidad adaptadas a los protocolos industriales.

• Visibilidad y monitoreo de la red: No se puede proteger lo que no se puede ver. Un control específico de ICS importante para garantizar la capacidad de detectar la amenaza y tener recopilación de datos para registrar, responder, es la medida proactiva de la Visibilidad de la Red de ICS. Esto requiere soluciones de monitoreo pasivas que puedan decodificar protocolos industriales (Modbus, DNP3, PROFINET, etc.) sin introducir latencia ni riesgos de fiabilidad.

• Acceso remoto seguro: La pandemia de COVID aceleró los requisitos de acceso remoto para entornos de OT. Sin embargo, las VPN tradicionales a menudo no proporcionan una segmentación o monitoreo adecuados para redes industriales. Las soluciones deben proporcionar control de acceso granular, grabación de sesiones y la capacidad de restringir el acceso a HMI o PLC específicos.

• Gestión de vulnerabilidades basada en el riesgo: Dada la imposibilidad de parchear muchos sistemas de OT heredados, las organizaciones deben implementar controles compensatorios: segmentación de red, listas de aplicaciones confiables y detección de anomalías en el comportamiento que puedan identificar intentos de explotación incluso cuando los sistemas siguen siendo vulnerables desde el punto de vista técnico.

Informes de incidentes: La revisión de la realidad de 24 horas

NIS2 introduce requisitos de informe de incidentes más rigurosos, obligando a las entidades a informar de ciberincidentes significativos dentro de las 24 horas. Para los entornos de OT, este plazo presenta desafíos operativos significativos.

Considera un escenario típico de incidente de OT:

Hora 0-4: Detección inicial, a menudo a partir de anomalías en el proceso más que de telemetría de ciberseguridad. Los operadores de OT notan un comportamiento inesperado en los sistemas de control.

Hora 4-12: Investigación: determinar si la anomalía es un incidente de ciberseguridad, una falla de equipo o un error del operador. Esto requiere coordinación entre los ingenieros de OT, los equipos de seguridad de TI y, posiblemente, especialistas externos en seguridad de ICS.

Hora 12-20: Decisiones de contención: En entornos de OT, la contención podría significar cerrar la producción, cambiar al control manual o aislar los sistemas críticos. Cada opción tiene implicaciones operativas y de seguridad significativas que deben evaluarse.

Hora 20-24: Notificación formal: preparar la notificación regulatoria mientras se responde activamente al incidente.

Este plazo comprimido exige marcos de respuesta a incidentes preestablecidos que tengan en cuenta las consideraciones específicas de OT. Las organizaciones necesitan:

• Rutas de escalamiento claras que no requieran navegar por la burocracia corporativa durante incidentes activos

• Autoridad de toma de decisiones preautorizada para el personal de OT para aislar sistemas o detener operaciones

• Notificaciones de plantilla que puedan personalizarse rápidamente en lugar de redactarse desde cero

• Ejercicios de simulacro regulares que prueben específicamente el plazo de informe de 24 horas con escenarios realistas de OT

Seguridad de la cadena de suministro: La superficie de ataque oculta

Muchas organizaciones dependen de una red compleja de proveedores para operar. Esta compleja cadena de suministro es un objetivo atractivo para los atacantes porque esta cadena de suministro puede posiblemente proporcionar un punto de entrada en la red industrial.

Los incidentes de SolarWinds y Kaseya demostraron cómo los compromisos en la cadena de suministro de software pueden propagarse a través de miles de organizaciones. Para los operadores de OT, el riesgo de la cadena de suministro se extiende más allá del software para incluir:

Componentes de hardware: PLC, RTU y otros dispositivos de campo de fabricantes que pueden enfrentar presiones geopolíticas o poseer puertas traseras para "diagnósticos remotos"

Integradores de sistemas: Firmas externas con acceso profundo a configuraciones de sistemas de control, arquitecturas de red y controles de seguridad

Proveedores de servicios gestionados: Organizaciones que proporcionan monitoreo remoto, mantenimiento o servicios de optimización con acceso persistente a redes de OT

Empresas de ingeniería y diseño: Socios que crean interfaces HMI, configuran sistemas SCADA o diseñan lógica de control, a menudo reteniendo credenciales de acceso mucho después de la finalización del proyecto

Los requisitos de la cadena de suministro de NIS2 obligan a que las organizaciones:

• Realicen evaluaciones de seguridad de proveedores críticos

• Incorporen requisitos de ciberseguridad en los contratos de adquisición

• Supervisen el cumplimiento de los proveedores mediante auditorías o certificaciones

• Tengan planes de contingencia para compromiso o falta de disponibilidad de proveedores

El marco de la cadena de suministro de la Ley de Ciberseguridad agrega otra capa: las organizaciones deben considerar no solo el perfil técnico de seguridad, sino también el perfil de riesgo geopolítico de sus proveedores. Un proveedor técnicamente seguro ubicado en una jurisdicción sujeta a requisitos de influencia extranjera puede ahora considerarse de alto riesgo.

Gobernanza y responsabilidad: Ciberseguridad en la sala de juntas

Los cuerpos de gestión son explícitamente responsables del cumplimiento, incluyendo la aprobación y supervisión de la estrategia de ciberseguridad. Esto representa un cambio fundamental en la responsabilidad.

Anteriormente, la ciberseguridad se delegaba a menudo a los equipos de TI o seguridad con visibilidad limitada en el nivel de la junta directiva. NIS2 y la Ley de Ciberseguridad revisada hacen a los ejecutivos personalmente responsables. Los fracasos en la gobernanza pueden resultar en prohibiciones temporales o descalificación de individuos de roles de liderazgo.

Para las organizaciones de OT, esto crea riesgos y oportunidades:

El riesgo: Las juntas directivas y los ejecutivos de nivel C a menudo carecen de un entendimiento profundo de los desafíos de seguridad de OT. Pueden aplicar modelos mentales de seguridad de TI a entornos de OT donde no encajan, o aprobar presupuestos de cumplimiento que subestiman dramáticamente la inversión requerida.

La oportunidad: La responsabilidad obligatoria a nivel de la junta crea una palanca para que los CISO y los líderes de seguridad de OT aseguren los recursos necesarios, prioricen las decisiones de arquitectura de seguridad e integren la ciberseguridad en la planificación estratégica en lugar de tratarla como un centro de costos.

Las organizaciones deberían establecer:

• Informes regulares a la junta sobre la postura de ciberseguridad de OT utilizando métricas comprensibles para los ejecutivos (no solo indicadores técnicos)

• Roles y responsabilidades claramente definidos entre la seguridad de TI, la ingeniería de OT y el liderazgo empresarial

• Comités de riesgo cibernético a nivel de la junta con representación de perspectivas tanto de TI como de OT

• Ejercicios de simulacro que incluyan a miembros de la junta para asegurarse de que entienden la toma de decisiones en respuesta a incidentes en la práctica, no solo en documentos de política

Aplicación: Penalidades reales

Hablemos ahora de lo que mantiene despiertos a los oficiales de cumplimiento por la noche. A diferencia de la Directiva NIS original, NIS2 introduce poderes de aplicación más fuertes para las autoridades nacionales, incluyendo auditorías regulares, inspecciones de seguridad, instrucciones vinculantes y, crucialmente, multas administrativas de hasta 10 millones de euros o el 2% del volumen de negocios anual global, lo que sea mayor.

Para ponerlo en contexto, el 2% de los ingresos globales de una importante empresa de servicios públicos o fabricante europeo podría alcanzar cientos de millones de euros. Estas no son sanciones simbólicas, sino consecuencias financieras que amenazan el negocio.

Las entidades esenciales enfrentan una supervisión proactiva, lo que significa que las autoridades pueden auditarte en cualquier momento. Sin aviso, sin tiempo de preparación. Las autoridades regulatorias pueden presentarse, exigir acceso a tus redes de OT, revisar tus controles de seguridad y evaluar tus capacidades de respuesta a incidentes.

Los poderes de aplicación se extienden más allá de las multas:

• Instrucciones vinculantes: Las autoridades pueden ordenar la implementación de medidas de seguridad específicas dentro de plazos definidos

• Restricciones de acceso al mercado: Los productos no conformes pueden ser bloqueados del mercado de la UE

• Divulgación pública: Las violaciones graves pueden anunciarse públicamente, creando un daño reputacional

• Descalificación de directores: Las autoridades pueden descalificar a los directores de empresa en casos de negligencia grave.

La línea de tiempo de implementación: Qué esperar

La Ley de Ciberseguridad revisada se aplicará inmediatamente una vez que sea aprobada por el Parlamento Europeo y el Consejo. Sin embargo, la implementación práctica sigue una línea de tiempo más escalonada:

Inmediato (2026):

• Las organizaciones deberían comenzar las evaluaciones de riesgo de la cadena de suministro, revisando especialmente los perfiles de riesgo geopolítico de los proveedores

• El marco de certificación estará disponible: los primeros en adoptarlo pueden obtener una ventaja competitiva

• ENISA comienza funciones mejoradas de coordinación y apoyo

Corto plazo (2026-2027):

• Los estados miembros tienen un año para transponer las enmiendas de NIS2 en la legislación nacional

• Las autoridades nacionales de ciberseguridad establecen mecanismos de supervisión proactiva

• Las primeras acciones de aplicación probablemente apuntarán al incumplimiento más flagrante

Medio plazo (2027-2028):

• Los estándares de certificación armonizados maduran y se convierten en expectativas de mercado

• Las medidas de desrización de la cadena de suministro se aplican plenamente, lo que podría requerir cambios en la infraestructura

• Los documentos de orientación específicos de la industria de ENISA proporcionan claridad sobre los requisitos específicos del sector

Recomendaciones prácticas para operadores de OT

Basado en el panorama regulatorio y las realidades operativas, aquí hay pasos concretos que los operadores de infraestructura de OT deberían tomar:

Realiza un inventario exhaustivo de activos

No se puede proteger lo que no se sabe que existe. Asegúrate de tener un resumen completo de tus dispositivos de OT para poder gestionar mejor el ciclo de vida de OT y minimizar el tiempo de inactividad. Esto incluye:

• Inventario completo de todos los dispositivos de campo (PLC, RTU, sensores, actuadores)

• Documentación de topología de red que muestre todas las interconexiones

• Seguimiento de versiones de software y firmware

• Relaciones con proveedores y vendedores mapeadas a activos específicos

Implementa visibilidad de red específica de ICS

Despliega soluciones de monitoreo pasivas que puedan decodificar protocolos industriales sin afectar el rendimiento del sistema. Esto proporciona las capacidades de registro y alerta que los sistemas de OT heredados carecen por diseño, sin requerir modificaciones en los sistemas de producción.

Evalúa y documenta el riesgo de la cadena de suministro

Crea una evaluación de riesgo de proveedores en capas que considere:

• Postura de seguridad técnica (certificaciones, resultados de auditorías, gestión de vulnerabilidades)

• Perfil de riesgo geopolítico (jurisdicción, requisitos de influencia extranjera, regulaciones de tecnología de doble uso)

• Criticidad para las operaciones (disponibilidad de alternativas, costos de cambio, profundidad de dependencia)

• Requisitos de seguridad contractual y mecanismos de aplicación

Desarrolla manuales de respuesta a incidentes específicos de OT

Los planes de respuesta a incidentes de TI estándar no tienen en cuenta las consideraciones de seguridad física, los requisitos de control de procesos ni la necesidad de coordinarse con los ingenieros de tecnología operativa. Tus manuales deberían incluir:

• Árboles de decisión de seguridad primero que prioricen la seguridad humana y la protección ambiental

• Autoridad clara para cerrar sistemas sin largas cadenas de aprobación

• Plantillas de comunicación predefinidas para el requisito de informe de 24 horas

• Protocolos de coordinación entre la seguridad de TI, la ingeniería de OT y los equipos de operaciones

Establece gobernanza a nivel de la junta

La ciberseguridad ya no es solo la responsabilidad del CISO. Se espera que los consejos de administración y el liderazgo ejecutivo comprendan y gestionen el riesgo cibernético como una cuestión de gobernanza. Crea:

• Informes trimestrales a la junta con métricas amigables para los ejecutivos

• Comités de riesgo cibernético con representación transversal

• Ejercicios de simulacro regulares que incluyan a participantes del nivel C

• Autoridad clara de escalación y toma de decisiones para incidentes de ciberseguridad

Plan para la migración de sistemas heredados

Muchos fabricantes dependen de sistemas heredados obsoletos que son difíciles de asegurar y pueden no cumplir con los estándares de NIS2. Toma un enfoque por fases:

• Prioriza sistemas en función de criticidad y exposición

• Implementa controles compensatorios (segmentación de red, listas de aplicaciones confiables) para sistemas que no pueden ser actualizados

• Presupuesta programas de migración de varios años reconociendo que el reemplazo total no es factible

• Usa APIs y patrones modernos de integración para aislar sistemas heredados mientras se mantiene la funcionalidad

Invierte en desarrollo de la fuerza laboral

La brecha de habilidades en ciberseguridad es aguda en entornos de OT donde la experiencia requiere tanto conocimiento de seguridad de TI como comprensión de tecnología operativa. La Academia de Habilidades de Ciberseguridad de ENISA ayudará, pero las organizaciones necesitan desarrollo de capacidades internas:

• Capacitación cruzada entre equipos de seguridad de TI e ingeniería de OT

• Certificaciones de seguridad específicas de ICS (GICSP, GRID, ICS515)

• Participación regular en grupos de intercambio de información de la industria

• Estrategias de retención para el escaso grupo de talento de especialistas en seguridad de OT

La convergencia de marcos de cumplimiento

Una ventaja potencial en esta evolución regulatoria: al identificar requisitos compartidos entre NIS2, CRA y otros marcos como GDPR, las empresas pueden implementar controles que satisfagan múltiples obligaciones regulatorias simultáneamente, creando programas de cumplimiento más eficientes.

Las organizaciones que ya implementan marcos como IEC 62443 para ciberseguridad industrial o NIST CSF encontrarán un solapamiento significativo con los requisitos de NIS2. La clave es desarrollar un enfoque de cumplimiento integrado en lugar de tratar cada regulación como una iniciativa separada:

• Mapea los controles de seguridad existentes a los requisitos de NIS2, CRA y GDPR

• Identifica brechas que necesiten nuevos controles frente a mejoras en la documentación

• Aprovecha la certificación ECCF para demostrar cumplimiento a través de múltiples marcos

• Crea estructuras de gobernanza unificadas que supervisen todas las obligaciones de riesgo cibernético y cumplimiento

La Ley de Ciberseguridad revisada de la UE representa el intento más ambicioso hasta ahora para asegurar la infraestructura digital de Europa contra amenazas en evolución. Para los operadores de OT y empresas de sectores críticos, exige un replanteamiento fundamental de las arquitecturas de seguridad, relaciones con proveedores y estructuras de gobernanza.

Pero aquí está la visión estratégica que separa a los líderes de los rezagados: las organizaciones deberían ver el cumplimiento de NIS2 como el resultado natural de una postura fuerte de ciberseguridad. Las empresas que prosperarán no son aquellas que se apresuran a cumplir mínimamente, sino aquellas que reconocen la seguridad robusta de OT como un diferenciador competitivo e imperativo operativo.

Las organizaciones que traten esto como un ejercicio de lista de verificación de cumplimiento tendrán dificultades. Aquellas que integran la seguridad en su ADN operativo, que invierten en visibilidad y resistencia, que crean culturas donde la ciberseguridad es responsabilidad de todos: estas organizaciones no solo cumplirán con los requisitos regulatorios, sino que estarán mejor posicionadas para:

• Prevenir y responder a incidentes que paralicen a sus competidores

• Ganar contratos que requieran madurez de seguridad demostrada

• Atraer y retener talento en mercados laborales competitivos

• Comandar valoraciones de mercado premium que reflejen perfiles de riesgo cibernético más bajos

El panorama de amenazas no se hará más fácil. Los actores estatales desarrollan capacidades cada vez más sofisticadas dirigidas a sistemas de control industrial. Los grupos de ransomware han demostrado la viabilidad económica de atacar infraestructuras críticas. La convergencia de redes de TI y OT continúa expandiendo las superficies de ataque.

La Ley de Ciberseguridad revisada proporciona un marco, recursos a través de ENISA y mecanismos de aplicación para impulsar mejoras necesarias. Pero, fundamentalmente, asegurar la infraestructura de tecnología operativa requiere que las organizaciones tomen decisiones de arquitectura de seguridad, asignaciones de recursos y compromisos culturales que trasciendan el cumplimiento regulatorio.

La pregunta no es si tu organización puede permitirse implementar estas medidas. La pregunta es si puedes permitirte no hacerlo, medido no solo en sanciones regulatorias, sino en resiliencia operativa, posiciórences competitivas y, en última instancia, en la capacidad continua de ofrecer los servicios esenciales que sustentan la sociedad moderna.

Las implicaciones regulatorias se avecinan. Pero las organizaciones que se muevan proactivamente descubrirán que el camino hacia el cumplimiento es también el camino hacia la excelencia operativa.

¿Necesitas ayuda con tus requisitos de cumplimiento regulatorio? Habla con nuestro experto.

Más sobre nuestros servicios de cumplimiento de NIS2.

Aprende un poco más sobre los servicios de respuesta a incidentes de Shieldworkz

Prueba nuestra plataforma de seguridad OT aquí.