NIS2 - Relevancia de la Cadena de Suministro
La cadena de suministro de una entidad está formada por todos los procesos de base tecnológica, involucrados de manera directa o indirecta en la entrega de un producto o servicio. La seguridad de la entidad depende, no únicamente de su propia seguridad, sino de la de cada uno de los elementos de su cadena de suministro, lo que dificulta la gestión de riesgos completa de la entidad.
La cadena de suministro toma gran relevancia con la publicación de la nueva Directiva Europea NIS2 que, con el objetivo de hacer frente a los riesgos de ciberseguridad de una entidad, la incorpora como elemento esencial a evaluar.
La directiva se centra principalmente en:
- Determinar las obligaciones de gestión de riesgos de las cadenas de suministro de entidades esenciales e importantes que recaen en su ámbito de aplicación.
- Prestar apoyo a través de las estrategias nacionales de ciberseguridad de los estados miembros a pequeñas y medianas empresas con el objetivo de reforzar la ciberseguridad de la Unión y de las propias cadenas de valor de las entidades anteriores.
- Establecer una evaluación coordinada de los riesgos de seguridad de las cadenas de suministro críticas para ayudar a las entidades a gestionarlos adecuadamente.
Por un lado, las entidades esenciales e importantes que recaen en el ámbito de aplicación de la directiva deben evaluar y tener en cuenta la calidad general y la resiliencia de los productos y servicios que conforman su cadena de valor, así como las medidas para la gestión de riesgos en sus procesos y las prácticas en materia de ciberseguridad de sus proveedores y prestadores de servicios (incluyendo sus procedimientos de desarrollo seguro). En particular, se debe fomentar que las entidades afectadas por la NIS2 incorporen medidas para la gestión de riesgos de ciberseguridad en los acuerdos contractuales con sus proveedores y prestadores de servicios directos.
Por otro lado, tiene en cuenta a pequeñas y medianas empresas, dado que éstas, representan un gran porcentaje del mercado industrial y empresarial en toda la Unión y a menudo tienen dificultades para adaptarse a las nuevas prácticas empresariales en un mundo más conectado y al entorno digital, con trabajadores que trabajan desde casa y negocios, que cada vez con más frecuencia, se realizan en línea.
Algunas pymes se enfrentan cada vez más a retos específicos en materia de ciberseguridad, para los cuales deberían recibir orientación y asistencia. Estos retos son, por ejemplo: el escaso conocimiento sobre el ciberespacio, la falta de seguridad informática a distancia, el elevado coste de las soluciones de ciberseguridad y un mayor nivel de amenazas, como los programas del secuestro.
Estas empresas, cada vez sufren más ataques contra sus cadenas de suministro debido principalmente a recursos de seguridad limitados y menor rigor en la gestión de riesgos de ciberseguridad y gestión de ataques. Estos ataques no solo afectan de manera aislada a la operación de la empresa que lo sufre, en ocasiones, pueden tener un efecto en cascada dando lugar a ataques más importantes contra las entidades a las que han suministrado.
Así, la Directiva NIS2 determina que los Estados miembros, por medio de sus estrategias nacionales de ciberseguridad, deben abordar las necesidades específicas de ciberseguridad de pequeñas y medianas empresas ayudándolas a hacer frente a los retos a los que se enfrentan en sus cadenas de suministro, proporcionando:
- Un punto de contacto a nivel nacional o regional que proporcione a las pymes orientación y asistencia acerca de cuestiones relacionadas con la ciberseguridad o las dirija a los organismos adecuados.
- Servicios de ciberseguridad, como la configuración de sitios web y la habilitación de registros a las microempresas y pequeñas empresas, a aquellas empresas que carezcan de esas capacidades.
Además, la directiva, para abordar los principales riesgos de las cadenas de suministro y ayudar a las entidades a gestionarlos adecuadamente, establece que el grupo de cooperación, en colaboración con la Comisión y la ENISA, llevarán a cabo evaluaciones coordinadas de los riesgos de seguridad de las cadenas de suministro críticas, con el objetivo de identificar en servicios, sistemas o productos de TIC críticos de cada sector, incluido en el ámbito de la directiva, las correspondientes amenazas y vulnerabilidades.
Estas evaluaciones deben determinar las medidas, los planes de mitigación y las mejores prácticas frente a dependencias críticas, posibles puntos únicos de fallo, amenazas, vulnerabilidades y otros riesgos relacionados con la cadena de suministro, y deben explorar formas de fomentar en mayor medida su adopción por parte de las entidades esenciales e importantes.
Con el fin de identificar los productos de las cadenas de suministro, que deben ser objeto de esta evaluación coordinada de riesgos, han de tenerse en cuenta los siguientes criterios:
- la medida en que las entidades esenciales e importantes los utilizan y dependen de ellos;
- la importancia que tienen para desempeñar funciones críticas o sensibles, en particular el tratamiento de datos personales;
- la disponibilidad de productos alternativos;
- la resiliencia de la cadena de suministro global a lo largo de su ciclo de vida frente a las perturbaciones;
- en el caso de ser emergentes, la importancia que puedan tener en el futuro para las actividades de las entidades.
Además, la directiva incluye que debe prestarse especial atención a los servicios, sistemas o productos de TIC que proceden de terceros países y están sujetos a requisitos específicos.
Como conclusión, podemos decir empleando la famosa máxima, que la ciberseguridad de una entidad es tan fuerte como el eslabón más débil de su cadena de suministro, y es por ello que resulta imprescindible que se evalúen y gestionen de manera adecuada los riesgos de los proveedores. Para ello, la directiva invita a imponer acuerdos contractuales para asegurar el cumplimiento de normas de ciberseguridad entre la entidad y sus proveedores, realizar auditorías de seguridad sobre los productos e impulsar prácticas de desarrollo seguras en toda la cadena de suministro.
Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o el formulario de contacto (seleccionando la opción de usuario de empresa o profesional) que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.