Revista Farmespaña Industrial - Mayo-Junio 2025

Cuando la ciberseguridad deja de ser opcional: impacto de NIS2 No os podéis hacer una idea de las veces que, al intentar realizar un Análisis de Riesgos en una organización, hemos oído frases como ‘Si pensamos solo en lo malo, no hacemos nada’, ‘No hay tiempo para evaluar riesgos, necesitamos vender’ o el típico ‘Pensamos en metas, no en riesgos… si ocurre algo ya lo arreglaremos’ . No hace falta decir que algunas de esas organizaciones no sobrevivieron al COVID. QUALIPHARMA Y , aunque a priori, las pandemias globales han sido una amenaza existente en todos los catálogos de amenazas pero que siempre hemos descartado por ser poco probable (como el detector de meteoritos: si un meteorito (amenaza) cae sobre nuestra organización es muy probable que la destruya (impacto alto) pero como la probabilidad de que eso ocurra es muy baja, ninguno de nosotros tiene misiles anti-meteoritos en la azotea), en estos momentos sí que se incluye la amenaza de pandemia en los Análisis de Riesgos (AR) y en los Análisis de Impacto en el Negocio (BIA) para disponerde algu- nas contramedidas preparadas por si en algún momento no podemos llegar a la oficina por el motivo que sea. Para poner un poco de orden a todo esto, el pasado 17 de octubre de 2024, entró en vigor la directiva NIS2 (Network and In- formation Security Directive), cuyo objetivo es reforzar la ciberseguridad en toda la Unión Europea, afectando de manera di- recta a sectores críticos como la industria farmacéutica. Esta nueva versión, amplia y mejora el marco normativo establecido por la direc- tiva NIS original ya que la realidad nos ha demostrado que muchas de las organiza- ciones de esos sectores esenciales aún care- cían de medidas de ciberseguridad básicas como pueden ser la gestión continua de los riesgos, la documentación y notificación de incidentes de seguridad y continuidad, las auditorías de vulnerabilidades periódicas y un plan de respuesta y continuidad ante ci- berataques, los cuales, por desgracia, cada vez son más frecuentes y sofisticados. La idea básica de la directiva NIS2 es refor- zar la ciberseguridad en toda la Unión Euro- pea, ampliando el alcance a más sectores (pasando de los 7 sectores de la NIS original a los 35 de NIS2) y obligando a muchas más empresas a cumplir con nuevos requisitos de seguridad. Ya no es suficiente con tener un antivirus y hacer copias de seguridad pe- riódicas; ahora se habla de gestión de ries- gos continua, medidas técnicas y organiza- tivas avanzadas, y, por supuesto, sanciones más duras si no se cumplen. En el caso del sector farmacéutico, la directiva aplica a toda la cadena de valor, desde la investigación y desarrollo hasta la fabricación, distribución y almacenamiento de medicamentos. La creciente digitaliza- ción que estamos sufriendo disfrutando en el sector con la adopción de tecnologías como la inteligencia artificial y la digitaliza- ción de procesos de producción, incrementa la superficie de ataque al tener muchos más dispositivos y servicios ‘conectados’, por lo que la necesidad de garantizar la confiden- cialidad, integridad, disponibilidad y trazabi- lidad de los datos críticos es más importante que nunca. Hay que tener en cuenta que NIS2 no im- plica directamente fuertes inversiones en tecnología ni ampliar el budget de IT. En rea- lidad, esta directiva pretende ayudarnos a que nuestro negocio será más resiliente y efi- ciente, obligándonos a cumplir con algunas medidas de ciberseguridad ‘de sentido co- mún’ que deberíamos tener implementadas desde hace años, por lo que no debería verse como una carga sino como una oportunidad para reforzar la resiliencia de las empresas del sector farmacéutico en un mundo cada vez más digitalizado y expuesto a riesgos. La ciberseguridad ya no es solo una cuestión técnica o un ‘gasto’, sino un pilar estraté- gico que puedemarcar la diferencia entre la continuidad o la interrupción del nego- cio en caso de crisis. Así mismo, cabe recordar que las regula- ciones GxP no solo exigen la validación de nuestros sistemas, sino también la cualifica- ción de las infraestructuras IT que los sopor- tan, directamente relacionado con la seguri- dad y la ciberseguridad. Además de tratarse de un requerimiento regulatorio, esto repre- senta una oportunidad para mejorar nuestra seguridad, garantizar el cumplimiento de los principios de integridad de los datos y ase- gurar la continuidad del negocio. En Qualipharma cumplimos desde hace años con todas las exigencias a las que ahora le ha dado forma la directiva NIS2, aseguran- do la resiliencia y ciberseguridad de nuestros procesos. Si aún no tienes claro si tu organi- zación cumple con los nuevos requisitos, po- demos tanto ayudarte a identificar posibles brechas y establecer un plan de acción que garantice el cumplimiento normativo como darte soporte en la cualificación de tus in- fraestructuras IT. No dejes que la cibersegu- ridad sea un obstáculo y conviértela en una ventaja competitiva con Qualipharma ◉ CIBERSEGURIDAD 62 FARMESPAÑA INDUSTRIAL · MAY/JUN 25