ZIUR y el Centro de Ciberseguridad Industrial (CCI) se han aliado para sensibilizar a las empresas sobre la nueva normativa europea NIS2, cuyo incumplimiento puede conllevar sanciones millonarias. Más de 80 empresas han participado ya en el primero de los talleres organizados por ambas entidades, que continuarán con esta formación en un próximo curso el 11 de febrero.
Comprender las implicaciones y obligaciones en materia de ciberseguridad que tienen las pymes “es fundamental para identificar brechas y conocer herramientas clave que garanticen una gestión eficaz en este campo”, asegura la directora de ZIUR, María Penilla, quien insiste en que se debe realizar una “gestión estratégica del ciber riesgo en momentos de alta incertidumbre” con el fin de mejorar la competitividad del tejido industrial guipuzcoano.
La alianza entre ZIUR, perteneciente a la Diputación Foral de Gipuzkoa, y el CCI permite a ambas entidades compartir estrategias, desarrollar acciones conjuntas y sumar capacidades ante, por ejemplo, esta nueva normativa para ayudar así a las pymes a garantizar su cumplimiento. “Es fundamental proteger la estrategia corporativa de los riesgos del ciberespacio y para ello se debe conocer la capacidad de respuesta de la organización. Es importante que las PYMES evalúen si se encuentran dentro del alcance de la Directiva NIS2 y, en caso afirmativo, implementen las medidas de ciberseguridad necesarias para cumplir con la normativa y proteger sus sistemas de información”, defiende Juan Pulpillo, experto del CCI en
cumplimiento legal, quien asegura que es la dirección de la empresa quien “debe liderar la protección de la organización frente a las ciberamenazas y debe hacer frente al cumplimiento de las obligaciones normativas”.
La Directiva NIS 2, ya en vigor, tiene como objetivo fortalecer la ciberseguridad en toda la UE, establece requisitos mínimos de gestión de riesgos a los sectores esenciales y exige medidas más estrictas para proteger infraestructuras críticas y mejorar la resiliencia frente a ciberataques. “La seguridad de la información y la ciberresiliencia se han convertido en una cuestión esencial para la continuidad de negocio de las organizaciones. Adaptar una pyme a la directiva NIS 2 requiere una combinación de análisis interno, inversión en tecnología, capacitación y colaboración externa”, afirma este experto del CCI.

Sanciones y responsabilidad legal
Asimismo, esta normativa aumenta la presión sobre las organizaciones industriales, mediante las responsabilidades legales y las sanciones, para que adopten las mejores prácticas de ciberseguridad. En este sentido, las multas por incumplimiento son muy significativas, ya que pueden alcanzar hasta 10 millones de euros o el 2% del
volumen de negocio anual total para las entidades esenciales; y hasta 7 millones de euros y el 1,4% del volumen de negocio para las importantes.
Pero, además, las sanciones también pueden incluir medidas como la suspensión temporal de la prestación de servicios, prohibiciones temporales para ciertas personas físicas de ocupar cargos específicos, y la imposición de medidas correctivas para abordar las deficiencias en la seguridad, tal y como informa el Asistente Virtual basado en Inteligencia Artificial de ZIUR, disponible en la web del centro las 24 horas del día los 7 días de la semana para resolver todo tipo de dudas sobre esta directiva.

Inversión, capacitación y colaboración
En la era de la digitalización, gestionar las vulnerabilidades que representan cada uno de los equipos y máquinas en las fábricas, no es una opción, sino una necesidad, máxime en Gipuzkoa donde la industria es uno de los grandes motores de su economía. Y si de algo es consciente el tejido industrial guipuzcoano es de que los ataques han crecido de forma exponencial los últimos años.
Las vulnerabilidades pueden provenir desde fallos en software y hardware hasta configuraciones incorrectas en redes y, como señala el último informe de ZIUR, ‘Ciclo de vida de las vulnerabilidades’, este consta de tres fases: identificación y evaluación, comunicación y mitigación, y verificación y mejora continua. “Emplear las herramientas que permitan detectar esas vías de entrada a los ataques y evaluar los riesgos, un claro protocolo de comunicación y de mitigación ante estas ofensivas y una constante actualización tanto en políticas como en capacitación de personal, así como en la verificación de la robustez de sus sistemas de protección, es esencial para cualquier empresa”, defiende María Penilla.
Dicho informe, a su vez, presenta algunas de las medidas más efectivas para mejorar la ciberseguridad en un entorno industrial cada vez más digitalizado como el guipuzcoano. Vigilancia continua y análisis de riesgos, laboratorios de pruebas de ciberseguridad industrial, autodiagnósticos y herramientas de diagnóstico.