La directiva NIS2 impacta directamente en la ciberseguridad del sector farmacéutico de la Unión Europea. La creciente digitalización y las sanciones más duras presentan desafíos y oportunidades para las empresas.
Y, aunque a priori, las pandemias globales han sido una amenaza existente en todos los catálogos de amenazas pero que siempre hemos descartado por ser poco probable (como el detector de meteoritos: si un meteorito (amenaza) cae sobre nuestra organización es muy probable que la destruya (impacto alto) pero como la probabilidad de que eso ocurra es muy baja, ninguno de nosotros tiene misiles anti-meteoritos en la azotea), en estos momentos sí que se incluye la amenaza de pandemia en los Análisis de Riesgos (AR) y en los Análisis de Impacto en el Negocio (BIA) para disponer de algunas contramedidas preparadas por si en algún momento no podemos llegar a la oficina por el motivo que sea.
Para poner un poco de orden a todo esto, el pasado 17 de octubre de 2024, entró en vigor la directiva NIS2 (Network and Information Security Directive), cuyo objetivo es reforzar la ciberseguridad en toda la Unión Europea, afectando de manera directa a sectores críticos como la industria farmacéutica.
Esta nueva versión, amplia y mejora el marco normativo establecido por la directiva NIS original ya que la realidad nos ha demostrado que muchas de las organizaciones de esos sectores esenciales aún carecían de medidas de ciberseguridad básicas como pueden ser la gestión continua de los riesgos, la documentación y notificación de incidentes de seguridad y continuidad, las auditorías de vulnerabilidades periódicas y un plan de respuesta y continuidad ante ciberataques, los cuales, por desgracia, cada vez son más frecuentes y sofisticados.
La idea básica de la directiva NIS2 es reforzar la ciberseguridad en toda la Unión Europea, ampliando el alcance a más sectores (pasando de los 7 sectores de la NIS original a los 35 de NIS2) y obligando a muchas más empresas a cumplir con nuevos requisitos de seguridad. Ya no es suficiente con tener un antivirus y hacer copias de seguridad periódicas; ahora se habla de gestión de riesgos continua, medidas técnicas y organizativas avanzadas, y, por supuesto, sanciones más duras si no se cumplen.
En el caso del sector farmacéutico, la directiva aplica a toda la cadena de valor, desde la investigación y desarrollo hasta la fabricación, distribución y almacenamiento de medicamentos. La creciente digitalización que estamos sufriendo disfrutando en el sector con la adopción de tecnologías como la inteligencia artificial y la digitalización de procesos de producción, incrementa la superficie de ataque al tener muchos más dispositivos y servicios ‘conectados’, por lo que la necesidad de garantizar la confidencialidad, integridad, disponibilidad y trazabilidad de los datos críticos es más importante que nunca.
Hay que tener en cuenta que NIS2 no implica directamente fuertes inversiones en tecnología ni ampliar el budget de IT. En realidad, esta directiva pretende ayudarnos a que nuestro negocio será más resiliente y eficiente, obligándonos a cumplir con algunas medidas de ciberseguridad ‘de sentido común’ que deberíamos tener implementadas desde hace años, por lo que no debería verse como una carga sino como una oportunidad para reforzar la resiliencia de las empresas del sector farmacéutico en un mundo cada vez más digitalizado y expuesto a riesgos. La ciberseguridad ya no es solo una cuestión técnica o un ‘gasto’, sino un pilar estratégico que puede marcar la diferencia entre la continuidad o la interrupción del negocio en caso de crisis.
Así mismo, cabe recordar que las regulaciones GxP no solo exigen la validación de nuestros sistemas, sino también la cualificación de las infraestructuras IT que los soportan, directamente relacionado con la seguridad y la ciberseguridad. Además de tratarse de un requerimiento regulatorio, esto representa una oportunidad para mejorar nuestra seguridad, garantizar el cumplimiento de los principios de integridad de los datos y asegurar la continuidad del negocio.
En Qualipharma cumplimos desde hace años con todas las exigencias a las que ahora le ha dado forma la directiva NIS2, asegurando la resiliencia y ciberseguridad de nuestros procesos. Si aún no tienes claro si tu organización cumple con los nuevos requisitos, podemos tanto ayudarte a identificar posibles brechas y establecer un plan de acción que garantice el cumplimiento normativo como darte soporte en la cualificación de tus infraestructuras IT. No dejes que la ciberseguridad sea un obstáculo y conviértela en una ventaja competitiva con Qualipharma.