Revista Farmespaña Industrial - Especial Calidad 2025

Claves para proteger tu industria farmacéutica ante la llegada de la directiva NIS2 La transformación digital ha generado un cambio significativo en la industria farmacéutica, exponiendo al sector a un entorno de amenazas cibernéticas cada vez más sofisticadas. En este contexto, la ciberseguridad emerge como un pilar esencial para garantizar la protección de la información y la continuidad operativa de los procesos críticos. Para establecer un marco común de acción, existen estándares de ciberseguridad específicos como la IEC 62443 (enfocado en entornos industriales) y la ISO27001, los cuales proporcionan directrices globales para la implementación de medidas de seguridad robustas. En este escenario, las empresas farmacéuticas enfrentan el gran reto de alinearse con estos estándares, preparándose para cumplir con los requisitos de la nueva directiva NIS2, destinada a fortalecer las bases de la ciberseguridad en la Unión Europea. IGNACIO REGO GARCÉS OT CYBERSECURITY ENGINEER EN SIEMENS ESPAÑA L a Directiva NIS2 (Network and Infor- mation Security Directive), adoptada por la Unión Europea en diciembre de 2022, representa un marco regulatorio ac- tualizado destinado a mejorar la resiliencia cibernética en sectores críticos. Su objetivo principal es establecer prácticas homogé- neas de ciberseguridad entre los Estados Miembros, incrementando así la capacidad de respuesta ante amenazas, y asegurando la protección de los sistemas críticos frente a incidentes de seguridad. Cada Estado Miembro de la Unión Europea tenía la obligación de transponer la directiva antes del 17 de octubre de 2024, fecha lími- te para integrar esta normativa en las legis- laciones nacionales. Algunos países como Bélgica, Rumanía, Italia y Alemania, entre otros, ya cuentan con una ley transpuesta y aprobada. En la actualidad, en España toda- vía no se dispone de una transposición de la directiva. No obstante, en enero de 2025 el consejo de ministros dio luz verde al pro- yecto de ley de Coordinación y Gobernanza de la Ciberseguridad, destinado a realizar la transposición de la Directiva NIS2 (Directiva 2022/2555) al marco normativo español. De- bido a este incumplimiento en los plazos, la Comisión Europea ha iniciado un procedi- miento de infracción contra España, remi- tiendo un dictamen motivado el 7 de mayo de 2025 y otorgando un plazo de dos meses para cumplir con el requerimiento, plazo que tampoco ha sido respetado. Pese a ello, es importante destacar que las entidades afec- tadas están igualmente obligadas a cumplir con esta directiva, cuya transposición puede ser inminente, ya que la norma se encuentra en vigor. Es recomendable no esperar a la transposi- ción de la ley e ir trabajando en identificar y estructurar todas las medidas de seguridad alineadas con los requisitos de la directiva. Con respecto a este punto, los requerimien- tos de la directiva se basan en estándares de seguridad conocidos como la IEC 62443 y la ISO 27001. ¿Afecta la directiva NIS2 a mi empresa farmacéutica? La directiva NIS2 cataloga a las entidades pertenecientes a la industria farmacéutica como entidades esenciales (en el caso de grandes empresas) así como entidades im- Concepto de defensa en profundidad en el sector farmacéutico. El objetivo principal de la directiva NIS2 es establecer prácticas homogéneas de ciberseguridad entre los Estados Miembros, incrementando así la capacidad de respuesta ante amenazas, y asegurando la protección de los sistemas críticos frente a incidentes de seguridad ACTUALIZACIÓN REGULATORIA 50 FARMESPAÑA INDUSTRIAL · ESPECIAL CALIDAD EN LA INDUSTRIA FARMACÉUTICA