Webinar: Estrategias clave para el cumplimiento de NIS2 en la industria de las Energías Renovables
Fecha: 28 de noviembre de 2024
Hora: 11:00 - 12:00 h
Duración: 60 minutos
-
RESPUESTAS A LAS PREGUNTAS PLANTEADAS EN EL WEBINAR
PREGUNTAS/RESPUESTAS ¿Hay mucha diferencia entre las diferentes trasposiciones en los diferentes países? El propósito de la NIS2 es harmonizar los requisitos entre los diferentes países de la UE, actualmente pocos han transpuesto la norma, de hecho la UE ha comenzado el proceso de apercibimiento a los que no lo han hecho. En el caso de Bélgica por ejemplo su ley es muy similar a la Directiva, en el caso de España todo parece indicar que se apoyará en el ENS. Habrá que esperar aún para hacer una buena comparativa. ¿Quién deberá liderar la gestión de la NIS2 en España? ¿Nosotros o los HQs? ¿Puede ser válido un ISMS global para todo el grupo? Eso depende de la organización de cada compañía. Desde luego la entidad española será responsable de cumplir. Sería lógico y bueno que las sedes centrales apoyaran en esta tarea y los frameworks locales estuvieran tan alineados como sea posible o incluso ser iguales. Así que si, podría ser valido, pero entendemos que habrá algunos puntos concretos del ENS que quizás habrá que añadir o documentar. Si somos responsables de toda la red para el cumplimiento de la NIS2 y una de tus partes, por ejemplo, en un parque eólico, el Scada del fabricante, del cual no se tienen datos ni acceso a los mismos ¿Cómo podemos hacernos responsables de esta parte del suministro? Este caso entraría dentro de lo que la NIS2 llama seguridad de la cadena de suministro. La única forma de hacer presión en este caso es mediante la relación contractual, incluyendo clausulas detalladas de ciberseguridad ¿Qué tiempo habrá para aplicar medidas tras la trasposición? Aun no se ha publicado así que aún no se sabe. Considerando que los activos de generación de cualquier planta se encuentran monitorizados a través de SCADAS, protocolos de comunicación, etc a través de equipos fabricados por terceros (proveedores de dataloggers, etc): ¿Este escenario se encuentra dentro del alcance de la NIS2? Si como parte de tu negocio produces energía y cumples con los números de empleados o facturación sí, está dentro del alcance. ¿Cómo contempla la NIS2 la situación en la que un proveedor no quiera participar en una evaluación? ¿Qué mecanismos ofrece a las empresas bajo el ámbito de NIS2 para poder forzar a un proveedor a ser evaluado? Ahora mismo no sabemos si habrá algún mecanismo concreto pero en todo caso esto debería hacerse mediante las relaciones contractuales, incluyendo requisitos y cláusulas de ciberseguridad. ¿Podríais dar unas líneas generales sobre dónde está el límite de responsabilidades entre lo que tiene que ser por parte de un Promotor de un proyecto energético y por parte del Contratista/EPCista que ejecuta ese proyecto y lo entrega al Promotor para su operación? El negocio del promotor es la producción de energía, el negocio del EPCista es la construcción e ingeniería. La NIS2 incluye la producción de energía, pero no la construcción, por tanto, a no ser que el gobierno señale a ese EPCista expresamente, el EPCista no tiene obligaciones con NIS2. Sin embargo, el promotor puede y debe incluir cláusulas de ciberseguridad en su relación contractual para asegurar su cumplimiento en el proyecto. Mi empresa es una empresa privada, no trabajo con el sector público, ¿a quién tengo que reportar un incidente de Ciberseguridad? ¿Cualquier incidente de ciberseguridad? ¿Con qué nivel de gravedad? Esto será definido en la transposición una vez se publique, todo parece indicar que se creará una única plataforma de contacto y reporte. Mi empresa ya se ha certificado en ISO27k, ¿por qué tengo que hacer una evaluación para ver si cumplo NIS2? No tienes por qué hacerla, pero parece lógico pensar que si la ley te aplica querrás saber si ya la cumples o hay algún punto que falte. Por eso se recomienda hacer las evaluaciones de NIS2, aunque ISO27000 cubre lo mismo en teoría, pero en la práctica la situación de seguridad a veces puede diferir. Respecto a la fecha estimada de transposición, he oído diferentes versiones, alguna de las cuales apuntaba a junio 2025... ¿tenéis certeza (o referencias fiables) de que será a primeros de año? No, no hay referencias fiables, hasta ahora todo lo que se ha oído de organismos públicos es que el borrador esta casi hecho y será “pronto” pero nadie se ha mojado. ¿Existe alguna relación entre la NIS2 y la familia de nomas IEC 62443 "Security for industrial automation and control systems"? No directamente, pero las normas 62443 son un marco adecuado para la mejora de ciberseguridad en empresas y productos industriales. Esperamos que la UE termine de detallar en la CRA y otras normas la validez por ejemplo de certificados de 62443 como evidencia de cumplimiento. Desde la perspectiva de un IPP (Independent Power Producer), ¿Qué aspectos/requisitos de la NIS2 se deberían tener más presentes? Tal como compartimos en el webinar, yo diría que a gobernanza empezando por los ejecutivos, los riesgos, la notificación de incidente y la seguridad de la cadena de suministro. ¡Y por supuesto documentarlo! ¿Se tiene ya una idea / previsión de cuándo se realizará la trasposición de la NIS2 en cada país de Europa? Especialmente en España. No, aun no se sabe para España, solo que será “pronto”. Mi empresa es una PYME, pero tengo más de 50 empleados. ¿Tengo que hacer una inversión de Ciberseguridad en toda mi empresa? ¿Me multan si no lo hago? La NIS2 solo aplica si eres parte de los sectores de actividad considerados y si tienes un tamaño por empleados o facturación. En caso de que estés bajo la norma, sí, habrá que hacer la inversión que sea necesaria y la negligencia u omisión podría acarrerar multas.
A medida que el sector de las energías renovables sigue creciendo, también aumentan los riesgos y retos asociados a la protección de las infraestructuras críticas frente a las ciberamenazas. La nueva Directiva NIS2 supone un importante paso adelante en el refuerzo de la ciberseguridad en toda la UE, al establecer requisitos claros para las industrias esenciales, incluidas las renovables. La pregunta clave es qué significa el cumplimiento para los proveedores de renovables y cómo pueden adaptarse para cumplir estas nuevas normas.
Este webinar ofrece una visión completa de los pasos necesarios para ajustarse a los requisitos de la NIS2. Únase a los expertos del sector para conocer las principales disposiciones de la directiva, debatir su impacto en el sector de las renovables y compartir estrategias prácticas para garantizar el cumplimiento.
Aprenderás las mejores prácticas para la gestión de riesgos, la respuesta a incidentes y la resistencia de los sistemas, lo que permitirá a su organización navegar por el panorama normativo y reforzar sus defensas de ciberseguridad de forma eficaz.
programa y ponentes
- Introducción
- Entendiendo la Directiva NIS2
- Repercusiones de la NIS2 en el sector de las energías renovables
- Estrategias básicas para lograr la conformidad con NIS2
- Perspectivas de futuro: ciberseguridad y energías renovables bajo NIS2
- Sesión de preguntas y respuestas