La NIS2 y la Directiva de Resiliencia de Entidades Críticas (CER) van de la mano. Ambas cambiarán la forma en que los sectores público y privado conciben la seguridad y alterarán el curso de las estrategias de continuidad de las actividades. Ambas cubren la misma lista de sectores e industrias definidos como "entidades críticas", y ambas sitúan a las mismas personas en una posición de responsabilidad en caso de que se produzca una violación.
Pero aunque la NIS2 define límites vitales en torno a la ciberseguridad, la CER es, básicamente, "todo lo demás". Sus principios básicos establecen, por decirlo de forma sencilla, que todas las empresas incluidas en su ámbito de aplicación deben poder seguir funcionando pase lo que pase. Eso puede significar un desastre natural, un ataque físico, un error humano o incluso un ciberataque.
Además, uno apuntala al otro. Sin el tipo de infraestructura informática segura que propugna la NIS2, no hay cimientos para la resiliencia; sin la resiliencia de las infraestructuras críticas -definidas de forma muy amplia por el CER como "un activo, una instalación, un equipo, una red o un sistema- no pueden cumplirse los objetivos de la NIS2.
Trabajar con un plazo ajustado
Todas las empresas incluidas en el ámbito de aplicación deben auditar ahora su proceso de evaluación de riesgos y asegurarse de que la forma en que enfocan su actividad se ajusta a él, y deben hacerlo de inmediato. La fecha límite de julio de 2026 fijada por la Comisión Europea para que los Estados miembros identifiquen su propia lista de entidades críticas puede dar a entender que hay mucho tiempo para trabajar, pero cualquier medida debe aplicarse antes de esa fecha.
Del mismo modo que cada nuevo dispositivo que se introduzca en la actividad de una "entidad crítica" debe ajustarse a la NIS2, todos los proyectos, renovaciones y cambios de infraestructura deben situar ahora la continuidad de la actividad en el primer lugar de la hoja de especificaciones. Se requerirán nuevas evaluaciones de riesgos para cada proceso crítico, incluso los que formen parte de la infraestructura existente. Es esencial una nueva forma de concebir y supervisar los riesgos.
CER: un nuevo nivel de diligencia
La CER y la NIS2 incorporan nuevos sectores a la supervisión reglamentaria y obligan a industrias como las de tratamiento de aguas, transporte, sanidad, alimentación y gestión de residuos a presentar pruebas de sus planes de continuidad de las actividades. Los Estados miembros de la UE recurrirán a auditorías e inspecciones in situ para garantizar que estas entidades presentan el nivel adecuado de resistencia técnica, organizativa y de seguridad.
La presentación de informes también se hace más estricta. El CER establece que deben notificarse los sucesos que puedan causar una interrupción de la actividad empresarial, tanto si afectan realmente a la continuidad de la actividad como si no. Pero adaptarse a estas nuevas normas puede no exigir un rediseño completo de los equipos.
Así que volvemos a la idea de pensar de nuevo. En muchos casos, los equipos necesarios para detectar incidentes novedosos, observar maquinaria o sistemas críticos e incluso prevenir actividades humanas peligrosas ya están instalados. Simplemente hay que pensar en ellos de otra manera.
Repensar la cámara como sensor
Las cámaras de vigilancia actuales son, en muchos casos, el sensor más potente que opera en las instalaciones de una entidad. Los potentes procesadores, los motores de análisis y la tecnología de IA de las cámaras modernas ofrecen la oportunidad de utilizarlas para algo más que la seguridad. Permitir que un dispositivo tan capaz haga sólo un trabajo parece un desperdicio.
Apunte una cámara térmica a un conjunto de maquinaria, por ejemplo, y puede ofrecer al operador información visual sobre la temperatura de ese equipo. Muy sencillo. Sin embargo, si se aprovechan sus capacidades de recopilación de datos, se podrían definir 100 puntos dentro de su imagen, recopilar números precisos de cada uno, enviarlos a través de un protocolo industrial como Modbus o MQTT e integrar completamente esos datos en una interfaz operativa.
Hacer más con los datos de los sensores
Las entidades críticas se verán obligadas a mejorar la continuidad de las ubicaciones remotas. Una cámara situada, por ejemplo, en una subestación eléctrica podría detectar el estado de los equipos, vigilar las condiciones meteorológicas, generar una alerta si una persona se acerca demasiado a dispositivos peligrosos, o incluso inspeccionar de forma anónima a los trabajadores in situ para comprobar si llevan el EPI adecuado, así como vigilar el perímetro en busca de intrusiones.
Nada de esto exige que un operador de cámara esté vigilando constantemente. Las técnicas algorítmicas o un motor de IA que funcione directamente en la cámara pueden vigilar todo su campo de visión. Una cámara podría predecir un corrimiento de tierras o una inundación, escuchar el sonido de una turbina y detectar pequeños cambios de tono que indiquen un fallo, o hacer sonar una alarma como parte de un sistema de control de acceso. Es una plataforma realmente flexible.
Un camino unido hacia adelante
Por supuesto, cada caso es único. Las aplicaciones "drop-in" se adaptan a algunas situaciones, mientras que para otras hay que crear una solución a medida. Se puede hacer mucho con IA, pero los modelos de IA deben ser entrenados exhaustivamente antes de que puedan ser eficaces. Y el lugar de la cámara en la supervisión aún está solidificándose, especialmente a los ojos de los ejecutivos: deben aprender la importancia de la RCE, y el potencial de las cámaras para acelerar el proceso de alineación con los objetivos de la RCE.
La clave es que debe ser el hardware adecuado. Las cámaras con plataformas abiertas permiten el tipo de innovación que requieren la CER y similares, y facilitan la colaboración cruzada entre industrias críticas. El objetivo es la estabilidad, la seguridad y la resistencia para todos, con dispositivos que cumplan las exigencias de NIS2 y CER en igual medida, respaldados por vendedores y proveedores que conozcan a la perfección esos equipos. Ese conocimiento y esa unidad son el camino hacia un mundo más inteligente y seguro.
