La industria farmacéutica se enfrenta al desafío de cumplir con la nueva directiva NIS2 de la Unión Europea, que exige controles cibernéticos rigurosos y notificaciones de incidentes de seguridad en plazos reducidos.
La transformación digital ha generado un cambio significativo en la industria farmacéutica, exponiendo al sector a un entorno de amenazas cibernéticas cada vez más sofisticadas. En este contexto, la ciberseguridad emerge como un pilar esencial para garantizar la protección de la información y la continuidad operativa de los procesos críticos. Para establecer un marco común de acción, existen estándares de ciberseguridad específicos como la IEC 62443 (enfocado en entornos industriales) y la ISO 27001, los cuales proporcionan directrices globales para la implementación de medidas de seguridad robustas. En este escenario, las empresas farmacéuticas enfrentan el gran reto de alinearse con estos estándares, preparándose para cumplir con los requisitos de la nueva directiva NIS2, destinada a fortalecer las bases de la ciberseguridad en la Unión Europea.
La Directiva NIS2 (Network and Information Security Directive), adoptada por la Unión Europea en diciembre de 2022, representa un marco regulatorio actualizado destinado a mejorar la resiliencia cibernética en sectores críticos. Su objetivo principal es establecer prácticas homogéneas de ciberseguridad entre los Estados Miembros, incrementando así la capacidad de respuesta ante amenazas, y asegurando la protección de los sistemas críticos frente a incidentes de seguridad.
Cada Estado Miembro de la Unión Europea tenía la obligación de transponer la directiva antes del 17 de octubre de 2024, fecha límite para integrar esta normativa en las legislaciones nacionales. Algunos países como Bélgica, Rumanía, Italia y Alemania, entre otros, ya cuentan con una ley transpuesta y aprobada. En la actualidad, en España todavía no se dispone de una transposición de la directiva. No obstante, en enero de 2025 el consejo de ministros dio luz verde al proyecto de ley de Coordinación y Gobernanza de la Ciberseguridad, destinado a realizar la transposición de la Directiva NIS2 (Directiva 2022/2555) al marco normativo español. Debido a este incumplimiento en los plazos, la Comisión Europea ha iniciado un procedimiento de infracción contra España, remitiendo un dictamen motivado el 7 de mayo de 2025 y otorgando un plazo de dos meses para cumplir con el requerimiento, plazo que tampoco ha sido respetado. Pese a ello, es importante destacar que las entidades afectadas están igualmente obligadas a cumplir con esta directiva, cuya transposición puede ser inminente, ya que la norma se encuentra en vigor.
Es recomendable no esperar a la transposición de la ley e ir trabajando en identificar y estructurar todas las medidas de seguridad alineadas con los requisitos de la directiva. Con respecto a este punto, los requerimientos de la directiva se basan en estándares de seguridad conocidos como la IEC 62443 y la ISO 27001.
¿Afecta la directiva NIS2 a mi empresa farmacéutica?
La directiva NIS2 cataloga a las entidades pertenecientes a la industria farmacéutica como entidades esenciales (en el caso de grandes empresas) así como entidades importantes (en el caso de empresas medianas). Los Estados Miembros también pueden clasificar, de manera excepcional, cualquier entidad farmacéutica como esencial o importante atendiendo a la criticidad o la categoría específica de su actividad. Esta flexibilidad garantiza que la protección se adapte a las necesidades y riesgos particulares del sector farmacéutico.
En términos generales, la directiva aplica a empresas públicas o privadas, medianas o grandes, que operen en la Unión Europea, siendo responsabilidad de las propias entidades la autoidentificación como entidad esencial o importante. Entidades públicas como INCIBE [1] ayudan a divulgar las últimas novedades con respecto a la directiva NIS2, entre otras.
¿Qué implica para mi organización el cumplimiento de la directiva NIS2?
Las entidades deben implementar medidas técnicas, organizativas y operativas proporcionales a los riesgos de ciberseguridad a los que se exponen. Dichas medidas se basan en la protección tanto de la red como de los sistemas de información, incluyendo entre otros los siguientes aspectos:
La directiva NIS2 no se limita a la protección de equipos aislados, sino que abarca estructuras de gobernanza, procesos operativos y un conjunto de controles técnicos que permiten detectar y responder ante incidentes de forma rápida y coordinada. En este contexto, la industria farmacéutica debe adoptar un programa de seguridad cohesionado que combine políticas claras y roles bien definidos ya que el incumplimiento de la directiva NIS2 conllevará sanciones a los responsables de su cumplimiento, designados en las políticas de gobernanza.
Otro de los pilares de la directiva se centra en la monitorización de sistema y detección continua de amenazas en entornos OT/ICS. Estas soluciones junto con una respuesta coordinada aseguran la rápida mitigación de brechas de seguridad.
Por otra parte, la gestión de vulnerabilidades exige inventariar y clasificar activos OT/ICS, realizar escaneos y parches cuidadosamente planificados, bastionar dispositivos y mantener la comunicación con proveedores, integrando requisitos contractuales y validaciones regulares para garantizar la seguridad y continuidad del suministro.
Como ejemplo de documento de referencia, algunos fabricantes suelen publicar guías de buenas prácticas alineadas con estándares de ciberseguridad industrial para ayudar a las entidades en el cumplimiento de las normativas vigentes. Un ejemplo de ello puede ser el documento de referencia de Siemens [2] orientado a la industria farmacéutica con recomendaciones alineadas con la IEC 62443-2-4 e IEC 62443-3-3, donde se detallan ejemplos de segmentación de red y medidas de seguridad de los sistemas.
La directiva NIS2 establece de forma contundente las obligaciones de notificación en caso de detección de incidentes de ciberseguridad. Fijando un plazo máximo de 24 horas, desde la detección del incidente, para comunicar una alerta preliminar. Posteriormente, deberá presentarse una notificación formal que detalle la gravedad y el impacto del incidente, en un término máximo de 72 horas. Finalmente, se exige la entrega de un informe de progreso y/o reporte definitivo dentro del mes siguiente a la notificación inicial o a la resolución del incidente, según corresponda.
¿Qué puedo hacer para prepararme para cumplimiento de la directiva NIS2?
Todas las medidas indicadas deben estar alineadas con la directiva NIS2 y con un marco técnico como IEC 62443. Este estándar propone un enfoque por capas y zonas que favorece la segmentación, define niveles de seguridad y apoya una defensa en profundidad adecuada para entornos de control industrial, definiendo unas recomendaciones según la función dentro del sector pudiendo ser, cliente final, OEM/fabricantes o proveedor de servicios.
La Directiva NIS2 se orienta principalmente hacia el rol de propietario de activos (asset owner), estableciendo que las obligaciones y medidas a su cargo se encuentran detalladas en diversos apartados del estándar IEC 62443, concretamente en las secciones IEC 62443-2-1, IEC 62443-2-4, IEC 62443-3-2 e IEC 62443-3-3.
Con base en la información proporcionada y complementando con otras prácticas propias de una estrategia de defensa en profundidad, se recomienda la implementación de las siguientes medidas:
La implementación de todas estas medidas contribuye significativamente a elevar el nivel de madurez del sistema en materia de ciberseguridad, alineándolo progresivamente con los requisitos establecidos por la directiva NIS2. Para asegurar la efectividad de este proceso, se recomienda comenzar con un análisis detallado de la situación inicial, identificando el estado actual del sistema en materia de ciberseguridad. Sobre la base de este análisis, debe establecerse un objetivo claro de madurez, que facilite la planificación de las acciones necesarias para alcanzar dicho objetivo. Posteriormente, es esencial elaborar un plan de implementación que priorice las medidas según su nivel de criticidad y que asigne plazos específicos para su ejecución, garantizando así una mejora estructurada y sostenible en la protección del sistema.
Como conclusión, avanzar hacia el cumplimiento de la directiva NIS2 en el sector farmacéutico requiere una gestión proactiva y estructurada de la ciberseguridad industrial, respaldada por estándares internacionales como IEC 62443. Este enfoque nos orienta hacia el cumplimiento de las exigencias normativas y, al mismo tiempo, nos permite fortalecer la protección de los sistemas de producción, asegurando la continuidad e integridad de los procesos críticos dentro del sector farmacéutico.
REFERENCIAS
[1] https://www.incibe.es/incibe-cert/sectores-estrategicos/NIS2-necesitas-saber
[2] https://support.industry.siemens.com/cs/es/es/view/109974515