Protección de infraestructuras críticas 2022: ¿Por qué las infraestructuras críticas deben actuar ya?

Proveedores de energía, hospitales, empresas de abastecimiento de agua: las infraestructuras críticas son cada vez más objetivo de ciberataques. La Ley de Seguridad de la Información 2.0 (IT-SiG 2.0) endurece las obligaciones legales. Sin embargo, muchos operadores de infraestructuras críticas aún no cumplen con los requisitos exigidos.

En resumen

• IT-SiG 2.0 en vigor: Desde mayo de 2021 rigen obligaciones más estrictas para los operadores de infraestructuras críticas.
• Plazo en marcha: Hasta mayo de 2023 deben implementarse sistemas de detección de ataques (SzA).
• Obligación de notificación ante el BSI: Las perturbaciones graves deben comunicarse al BSI en cuestión de horas.
• Nuevos sectores: Los sectores de gestión de residuos y defensa se han incorporado como sectores de infraestructura crítica.
• Subfinanciación: Muchas empresas municipales de suministro y proveedores comunales carecen de un presupuesto específico para seguridad.

El agravamiento de la situación de amenaza

Según el informe sobre la situación de ciberseguridad del BSI de 2021, el número de ciberataques contra infraestructuras críticas se ha duplicado respecto al año anterior. Los sectores especialmente afectados son: el ámbito sanitario (clínica universitaria de Düsseldorf, hospital de Wolfenbüttel), el sector energético (ataque contra Colonial Pipeline en Estados Unidos) y las administraciones locales (distrito de Anhalt-Bitterfeld). El conflicto en Ucrania ha agravado aún más esta situación de amenaza.

Qué exige la Ley de Seguridad de la Información 2.0

La IT-SiG 2.0 amplía considerablemente las obligaciones de los operadores de infraestructuras críticas. Sus exigencias fundamentales son: la implantación de sistemas de detección de ataques (SzA) hasta mayo de 2023; una ampliación de las obligaciones de notificación ante incidentes de seguridad; el uso de productos certificados por el BSI en determinados ámbitos; y la presentación periódica de pruebas ante el BSI cada dos años. Además, podrán prohibirse componentes críticos procedentes de fabricantes no fiables.

Situación real de los operadores de infraestructuras críticas

La realidad en muchas empresas comunales de suministro es sombría. Empresas municipales de servicios públicos con apenas unos cientos de empleados suelen carecer de un departamento propio de ciberseguridad. Los sistemas OT en el abastecimiento de agua o energía funcionan con software obsoleto que no puede actualizarse mediante parches. Y el plazo para la implantación de los sistemas de detección de ataques se acerca sin que muchos operadores hayan iniciado siquiera dicha implantación. En este contexto, los proveedores gestionados de servicios de seguridad (MSSP) pueden constituir una solución viable.

Datos clave de un vistazo

Sectores de infraestructura crítica: 11 (energía, agua, alimentación, TI/telecomunicaciones, salud, finanzas, transporte, medios de comunicación, Estado, gestión de residuos, defensa)

Plazo para los sistemas de detección de ataques (SzA): 1 de mayo de 2023

Obligación de notificación ante el BSI: Inmediatamente, como máximo dentro de las 24 horas tras perturbaciones graves

Ciclo de presentación de pruebas: Cada 2 años ante el BSI

Fuente: Ley de Seguridad de la Información 2.0, Ordenanza del BSI sobre infraestructuras críticas, 2022

Dato: La Directiva NIS2 amplía el número de sectores sujetos a obligaciones de infraestructura crítica de 7 a 18.

Dato: Según ENISA, en 2024 los ataques contra infraestructuras críticas aumentaron un 38 % respecto al año anterior.

Preguntas frecuentes

¿Qué son los sistemas de detección de ataques (SzA)?

Los SzA comprenden soluciones técnicas como SIEM, IDS/IPS y detección de anomalías, diseñadas para identificar y notificar ciberataques en tiempo real. La IT-SiG 2.0 exige su implantación hasta mayo de 2023. El BSI ha publicado una guía orientativa que define tres grados de madurez.

¿Qué empresas se consideran infraestructuras críticas?

Son operadores de infraestructuras críticas aquellas empresas de los 11 sectores mencionados que superen determinados umbrales cuantitativos. Por ejemplo: una empresa de abastecimiento de agua con una producción anual de al menos 22 millones de metros cúbicos; un hospital con al menos 30 000 ingresos completos al año; un proveedor de energía que suministre electricidad a un mínimo de 420 000 personas. Los umbrales exactos figuran en la Ordenanza del BSI sobre infraestructuras críticas.

¿Qué consecuencias tiene el incumplimiento?

La IT-SiG 2.0 ha elevado el límite máximo de las multas a 2 millones de euros. En caso de infracciones graves, el BSI podrá emitir órdenes vinculantes e incluso limitar la explotación de instalaciones. Además, los directivos asumen riesgos de responsabilidad personal si no cumplen con las obligaciones relativas a infraestructuras críticas.

¿Cómo pueden cumplir los requisitos pequeñas empresas municipales de suministro?

Los proveedores gestionados de servicios de seguridad (MSSP) ofrecen servicios SOC-as-a-Service y Managed Detection and Response (MDR), que resultan económicamente más viables para pequeños operadores de infraestructuras críticas que la creación de equipos internos de seguridad. Asimismo, asociaciones sectoriales como el BDEW proporcionan normas sectoriales y plantillas.

¿Es aplicable la IT-SiG 2.0 también a los proveedores de los operadores de infraestructuras críticas?

Indirectamente, sí. Los operadores de infraestructuras críticas deben garantizar la seguridad de toda su cadena de suministro. Los proveedores de componentes críticos pueden ser sometidos a auditorías por parte del BSI. De facto, los proveedores también deben cumplir estándares de seguridad más exigentes si desean servir a clientes de infraestructuras críticas.

Lecturas complementarias en la red

Infraestructuras críticas y seguridad en la nube en cloudmagazin: cloudmagazin.com

Servicios gestionados de seguridad para pymes en mybusinessfuture: mybusinessfuture.com

Cumplimiento de los requisitos de infraestructura crítica como tema de consejo de administración en Digital Chiefs: digital-chiefs.de

Artículos relacionados

• Un SOC basado en IA: cómo las operaciones de seguridad automatizadas resuelven la escasez de profesionales cualificados
• ChatGPT y ciberseguridad: por qué la IA está transformando tanto los ataques como la defensa
• Aprobación de la Directiva NIS2: qué implica ahora para las empresas

Fuente de imagen: Pexels / Efe Burak Baydar

Sobre el autor: Tobias Massow

Más artículos de Tobias Massow