Le ayudamos a prepararse para las directivas CRA y NIS2

Elegir un fabricante que se tome en serio la ciberseguridad es algo fundamental para el negocio

La ciberseguridad sigue siendo una cuestión que interesa mucho a los líderes empresariales, por lo que no sorprende que la Unión Europea esté trabajando para reducir el riesgo de ciberataques a las organizaciones. Sus últimos esfuerzos se centran en dos directivas, la Ley de Resiliencia Cibernética (CRA) y la Directiva de Seguridad de la Información y las Redes, segunda edición (NIS2). Los líderes empresariales que consideren importante su cumplimiento harían bien ahora en asociarse con fabricantes como Hanwha Vision, que están comprometidos con la ciberseguridad y a la vanguardia en el cumplimiento de las directivas NIS2 y CRA.

A modo de contexto, el Parlamento Europeo y el Consejo Europeo llevan mucho tiempo atentos al uso y la protección de los datos, en particular los datos personales. Sin embargo, el aumento de los delitos cibernéticos y y el gran incremento de oportunidades para que individuos maliciosos intenten aprovecharse de las redes y los dispositivos conectados, tras un aumento exponencial de las plataformas tecnológicas, has llevado a los legisladores a apuntalar las defensas cibernéticas de los estados miembros de la UE y las organizaciones que operan dentro de ellos.

La Agencia de Ciberseguridad de la Unión Europea, ENISA, revela que están surgiendo nuevas amenazas a la ciberseguridad debido a la gran cantidad de datos que ahora pueden recopilar los dispositivos. Los avances en la Inteligencia Artificial, que hacen que los ciberataques sean más complejos y escalables, la orientación a la cadena de suministro (los incidentes de terceros representaron el 17% de las intrusiones en 2021 en comparación con menos del 1% en 2020) y los dispositivos de Internet de las Cosas (IoT) se utilizan como puertas de entrada para ataques de mayor envergadura. En medio de este panorama surge la nueva directiva CRA y un reemplazo de la directiva NIS original que aborda directamente las nuevas amenazas.

Acerca de la directiva NIS2

La directiva NIS2 fue adoptada por el Parlamento Europeo y el Consejo Europeo en diciembre de 2020. Da a los estados miembros, hasta octubre de 2024, la posibilidad de transponer los requisitos de la directiva NIS2 a sus leyes nacionales. En última instancia, esta directiva tiene como objetivo mejorar la ciberseguridad de las redes y los sistemas de información en toda la UE.

Se aplica tanto a los Operadores de Servicios Esenciales (OES) como a los Proveedores de Servicios Digitales (DSP). Identificar dónde encaja una organización en esto es clave para comprender sus obligaciones. Los OES ofrecen servicios críticos para la economía o la sociedad e incluyen empresas de energía, transporte, banca y cuidados de la salud. Los DSP ofrecen servicios en línea a una gran cantidad de usuarios e incluyen motores de búsqueda, plataformas de redes sociales y mercados en línea. Como fabricante de tecnología de vídeo, Hanwha Vision se define como un DSP.

La primera directiva NIS se centró únicamente en los OES, sin embargo, dada la creciente importancia de los servicios digitales que pueden ser un eslabón débil explotado por individuos maliciosos, la directiva NIS2 amplía los requisitos a los DSP. Garantiza que los DSP tomen las medidas apropiadas para gestionar el riesgo planteado a sus redes y sistemas de información.

Se les pide a los DSP:

  • Cumplir completamente con la Ley de Resiliencia Cibernética.
  • Realizar evaluaciones periódicas de riesgos para identificar y evaluar los riesgos para sus redes y sistemas de información.
  • Poner en práctica medidas de seguridad adecuadas para mitigar los riesgos identificados en sus evaluaciones de riesgos.
  • Informar sobre incidentes de ciberseguridad a las autoridades nacionales competentes.
  • Cooperar con las autoridades nacionales competentes en caso de un incidente de ciberseguridad.

La directiva NIS2 es un paso positivo para el sector del vídeo: garantiza que cualquier fabricante que desee hacer negocios en los estados miembros de la UE cumpla con las normativas correspondientes. Proteger la red, con sus diversos dispositivos y diferentes servicios, requiere la participación activa de toda la cadena de suministro del proveedor. La directiva NIS2 hace que esto sea mucho más fácil de organizar. Además, las cámaras pueden representar un riesgo si no se eligen los fabricantes acreditados, no solo por los datos que recopilan (que pueden ser sensibles y personales), sino también como puerta de entrada a un ciberataque más amplio. A medida que las redes se vuelven más grandes y complejas, particularmente a medida que se construyen más ciudades inteligentes, contar con un sistema de ciberseguridad sólido en todas las cadenas de suministro es algo fundamental.

Preparación para la directiva NIS2

La mejor manera de preparar su organización para el futuro en este momento es trabajar exclusivamente con fabricantes que puedan demostrar su preparación para el cumplimiento de la directiva NIS2, con un sólido historial de las mejores prácticas en ciberseguridad. Aunque la UE aún no ha legislado los requisitos exactos, una apuesta segura por ahora es buscar el cumplimiento de la directiva CRA, ya que hay muchas posibilidades de que un fabricante que cumpla con la CRA también cumpla con la NIS2.

Cumplimiento de la directiva CRA

Con más dispositivos inteligentes en empresas y hogares, la Comisión Europea busca garantizar un nivel adecuado de ciberseguridad en cada producto utilizado en los estados miembros, con actualizaciones de seguridad periódicas durante todo el ciclo de vida del producto. Para ayudar a los líderes empresariales y consumidores a identificar productos que cumplan con los requisitos, la marca CE aparecerá en cualquier producto o software que cumpla con los requisitos. La directiva CRA se aplica a productos que se conectan a Internet, por ejemplo, televisores inteligentes, routers Wi-Fi, frigoríficos inteligentes y cámaras de vídeo.

Aunque se está debatiendo la ley en el Parlamento Europeo y el Consejo Europeo, y probablemente no entre en vigor hasta 2024 como muy pronto, Hanwha Vision ya está siguiendo las directrices de la directiva CRA debido a los procesos integrales de ciberseguridad que ha implementado.

Los proveedores también deben demostrar que realizan evaluaciones de riesgos periódicas para identificar, evaluar y mitigar cualquier riesgo para su red. Esto es algo que el Equipo de Respuesta a Emergencias Informáticas y de Seguridad (S-CERT) de Hanwha Vision lleva a cabo periódicamente, incluidas pruebas de penetración y controles de seguridad.

Todos los productos de Hanwha Vision están diseñados y desarrollados teniendo en cuenta la seguridad y disponen deh la certificación UL CAP en el sistema avanzado en chip (SoC) Wisenet 7. Para mejorar aún más la seguridad de todos sus usuarios, Hanwha Vision publica periódicamente amenazas y vulnerabilidades potenciales como parte de una política de divulgación abierta, y proporciona a los usuarios información sobre las funciones de seguridad de sus productos y cómo utilizarlas.

La punta del iceberg de la ciberseguridad

Las últimas medidas legislativas de la UE son parte de mayores esfuerzos para promover la resiliencia cibernética mediante la formulación de políticas, subvenciones a la innovación y otros. Esto muestra un claro enfoque por parte de la Comisión Europea para proteger productos y servicios contra ciberataques. El asociarse con fabricantes que sitúan la ciberseguridad en el centro del diseño de sus productos ayudará a las organizaciones a preparar sus operaciones en Europa para el futuro.

Por lo tanto, es vital que los usuarios elijan un fabricante de vídeo que vaya más allá en la seguridad de sus productos y software: la ciberseguridad no es un área en la que «suficientemente bueno» sea suficiente. Los riesgos y costes de un fallo de seguridad de los datos son demasiado grandes para justificar la elección de cámaras con ciberseguridad deficiente. El asociarse con un fabricante que explora constantemente el panorama en busca de nuevas amenazas y vulnerabilidades garantiza que su sistema de vídeo esté a la vanguardia en el mantenimiento del cumplimiento.

La importancia de las credenciales y las políticas

Para tener la tranquilidad de saber que su red de vídeo es lo más cibersegura posible, buscar algunas «marcas de confianza» en su fabricante debe ser parte de cada proceso de selección. Es necesario ver pruebas claras de su compromiso con la ciberseguridad, no solo en el diseño de productos sino en todas las operaciones, la cultura e incluso el liderazgo intelectual. Las políticas de seguridad, incluidas las respuestas a las vulnerabilidades y el manejo / información de incidentes, son requisitos básicos.

Las certificaciones que incluyen el cumplimiento del UL CAP (programa de Garantía de Ciberseguridad UL) y la NDAA (ley de Autorización de Defensa Nacional), o acreditaciones como el esquema Cyber Essentials del Reino Unido permiten tener mayor confianza. En particular, dado que el cumplimiento de la NDAA exige que los fabricantes eviten fabricar y utilizar chips de silicio y otros componentes de países incluidos en la lista excluyente, puede ser un indicador importante de la resiliencia cibernética de la cadena de suministro de un fabricante.

Finalmente, compartir conocimientos y recursos, además de contribuir a  la biblioteca de vulnerabilidades de CVE (Hanwha Vision es socio de CVE), puede mostrar un compromiso a largo plazo para mejorar la ciberseguridad. Hanwha Vision se enorgullece de haber reforzado sus medidas de seguridad y haber contribuido a las mejores prácticas de ciberseguridad en el Reino Unido y Europa durante muchos años.

¿Una futura marca de confianza?

De manera similar al cumplimiento de la NDAA, las directivas CRA y NIS2 se están convirtiendo en otro aspecto importante para quienes toman decisiones que determinan el compromiso de ciberseguridad de un fabricante. Buscar proveedores que sean proactivos en su enfoque y que adopten una estrategia multifacética para proteger los productos le será de gran utilidad a largo plazo a medida que los ciberataques se vuelvan más comunes, complejos y costosos. Le ofrece la libertad y flexibilidad para invertir en las mejores soluciones de CCTV para su organización sin introducir un enlace débil en su red.