Revista Farmespaña Industrial - Especial Calidad 2025

portantes (en el caso de empresas media- nas). Los Estados Miembros también pueden clasificar, de manera excepcional, cualquier entidad farmacéutica como esencial o im- portante atendiendo a la criticidad o la cate- goría específica de su actividad. Esta flexibi- lidad garantiza que la protección se adapte a las necesidades y riesgos particulares del sector farmacéutico. En términos generales, la directiva aplica a empresas públicas o privadas, medianas o grandes, que operen en la Unión Europea, siendo responsabilidad de las propias enti- dades la autoidentificación como entidad esencial o importante. Entidades públicas como INCIBE [1] ayudan a divulgar las últi- mas novedades con respecto a la directiva NIS2, entre otras. ¿Qué implica para mi organización el cumplimiento de la directiva NIS2? Las entidades deben implementar medidas técnicas, organizativas y operativas propor- cionales a los riesgos de ciberseguridad a los que se exponen. Dichas medidas se basan en la protección tanto de la red como de los sistemas de información, incluyendo entre otros los siguientes aspectos: • Políticas de seguridad y análisis de ries- gos • Gestión de incidentes • Plan de continuidad de negocio • Seguridad de la cadena de suministro • Monitorización de redes y sistemas de información, incluyendo la gestión de vulnerabilidades • Auditorías y evaluaciones de cibersegu- ridad • Formación en ciberseguridad • Aplicación de criptografía y cifrado • Políticas de control de acceso y gestión de activos • Autenticación multifactorial La directiva NIS2 no se limita a la protec- ción de equipos aislados, sino que abarca estructuras de gobernanza, procesos ope- rativos y un conjunto de controles técnicos que permiten detectar y responder ante in- cidentes de forma rápida y coordinada. En este contexto, la industria farmacéutica debe adoptar un programa de seguridad cohesio- nado que combine políticas claras y roles bien definidos ya que el incumplimiento de la directiva NIS2 conllevará sanciones a los responsables de su cumplimiento, designa- dos en las políticas de gobernanza. Otro de los pilares de la directiva se centra en la monitorización de sistema y detección continua de amenazas en entornos OT/ICS. Estas soluciones junto con una respuesta coordinada aseguran la rápida mitigación de brechas de seguridad. Por otra parte, la gestión de vulnerabilida- des exige inventariar y clasificar activos OT/ ICS, realizar escaneos y parches cuidadosa- mente planificados, bastionar dispositivos y mantener la comunicación con proveedores, integrando requisitos contractuales y valida- ciones regulares para garantizar la seguridad y continuidad del suministro. Como ejemplo de documento de refe- rencia, algunos fabricantes suelen publicar guías de buenas prácticas alineadas con es- tándares de ciberseguridad industrial para ayudar a las entidades en el cumplimiento de las normativas vigentes. Un ejemplo de ello puede ser el documento de referencia de Siemens [2] orientado a la industria far- macéutica con recomendaciones alineadas con la IEC 62443-2-4 e IEC 62443-3-3, donde se detallan ejemplos de segmentación de red y medidas de seguridad de los sistemas. La directivaNIS2 establece de forma contun- dente las obligaciones de notificación en caso de detección de incidentes de ciberseguridad. Fijando un plazo máximo de 24 horas, desde la detección del incidente, para comunicar una alerta preliminar. Posteriormente, deberá presentarse una notificación formal que deta- lle la gravedad y el impacto del incidente, en un término máximo de 72 horas. Finalmente, se exige la entrega de un informe de progreso y/o reporte definitivo dentro del mes siguien- te a la notificación inicial o a la resolución del incidente, según corresponda. ¿Qué puedo hacer para prepararme para cumplimiento de la directiva NIS2? Todas las medidas indicadas deben estar alineadas con la directiva NIS2 y con un mar- co técnico como IEC 62443. Este estándar propone un enfoque por capas y zonas que favorece la segmentación, define niveles de seguridad y apoya una defensa en profundi- dad adecuada para entornos de control in- dustrial, definiendo unas recomendaciones según la función dentro del sector pudiendo ser, cliente final, OEM/fabricantes o provee- dor de servicios. La Directiva NIS2 se orienta principalmente hacia el rol de propietario de activos (asset owner), estableciendo que las obligaciones y medidas a su cargo se encuentran detalla- das en diversos apartados del estándar IEC 62443, concretamente en las secciones IEC 62443-2-1, IEC 62443-2-4, IEC 62443-3-2 e IEC 62443-3-3. Con base en la información proporcionada y complementando con otras prácticas pro- pias de una estrategia de defensa en profun- didad, se recomienda la implementación de las siguientes medidas: Pilares de desarrollo de la directiva NIS2. ACTUALIZACIÓN REGULATORIA 52 FARMESPAÑA INDUSTRIAL · ESPECIAL CALIDAD EN LA INDUSTRIA FARMACÉUTICA