^{Natalia Ibáñez Canas
Sales Area Manager en DNV}

 
Revista Alimentaria.- La Directiva NIS2 tiene como objetivo mejorar la ciberseguridad en la Unión Europea, pero ¿qué hace que esta normativa sea especialmente relevante para el sector alimentario?

Natalia Ibáñez Canas.- El sector alimentario es considerado una infraestructura crítica, fundamental para la sociedad y la economía. La digitalización y la integración de tecnologías avanzadas en la producción alimentaria han mejorado la eficiencia y calidad de los productos, pero también han abierto la puerta a riesgos cibernéticos. Los ciberataques pueden generar desde interrupciones en la producción hasta alteraciones de datos clave, lo que afecta tanto a la seguridad alimentaria como a la operatividad de las empresas.

R. A.- ¿Qué riesgos específicos enfrentan las empresas del sector alimentario si no adoptan las medidas de seguridad que exige la Directiva NIS2?

N. I. C.- Los ciberataques pueden derivar en una variedad de problemas graves. Un ataque puede interrumpir las líneas de producción, generando pérdidas económicas y retrasos. Además, la manipulación de datos sensibles, como las temperaturas de almacenamiento o las fórmulas de productos (y, por tanto, de la información que iría destinada a las etiquetas), compromete la seguridad alimentaria. También se presentan riesgos asociados con el robo de datos personales y los ataques de ransomware, que podrían dañar irreparablemente la reputación de la empresa y poner en peligro la privacidad de empleados y clientes.

R. A.- ¿Qué tipo de empresas del sector agroalimentario deben cumplir con los requisitos de la Directiva NIS2?

N. I. C.- Las empresas consideradas "entidades importantes", aquellas que superan los 50 empleados o tienen un volumen de negocio anual superior a los 10 millones de euros, están obligadas a cumplir con la Directiva NIS2. No obstante, incluso empresas más pequeñas que desempeñan un papel crucial en la cadena de suministro o en la distribución de alimentos frescos pueden verse afectadas. Esto incluye empresas de procesamiento de alimentos, plataformas logísticas y empresas de servicios digitales que gestionan sistemas esenciales para el sector.

R. A.- ¿Cuáles son las principales medidas de ciberseguridad que las empresas del sector alimentario deben implementar para cumplir con la Directiva NIS2 y proteger sus sistemas de información?

N.I.C.- Para cumplir con la Directiva NIS2, las empresas deben tomar medidas técnicas y organizativas que incluyan la evaluación continua de riesgos, la implementación de firewalls y sistemas de cifrado, y la adopción de prácticas de autenticación multifactor. Además, deben establecer protocolos claros para la gestión de incidentes, realizar capacitaciones regulares para el personal y mantener actualizados los sistemas de software. La creación de planes de respuesta ante incidentes y de continuidad del negocio también son fundamentales para garantizar la resiliencia operativa.

R. A.- ¿Qué consecuencias pueden enfrentar las empresas que no cumplan con la Directiva NIS2 y cómo pueden evitar sanciones?

N. I. C.- Las empresas que no implementen las medidas necesarias pueden enfrentarse a sanciones severas, que podrían oscilar entre el 1,4 % y el 2 % de su facturación anual. Para evitar estas sanciones, las empresas deben garantizar que sus sistemas estén protegidos adecuadamente y que todos los procedimientos de seguridad estén en su lugar. Además, es fundamental notificar cualquier incidente significativo a las autoridades competentes dentro del plazo establecido por la normativa. La planificación y la formación del personal son esenciales para el cumplimiento y la protección contra las amenazas cibernéticas.

R. A.- ¿De qué manera las empresas alimentarias pueden cumplir con NIS2 y mejorar su ciberseguridad?

N. I. C.- Es aconsejable iniciar con una evaluación integral de riesgos con el propósito de determinar el grado de preparación de la organización en la protección de sus infraestructuras críticas y de identificar las medidas de seguridad de la información que ya se encuentran implementadas. Asimismo, resulta esencial fomentar la concienciación y formación de todos los integrantes de la organización, empezando por la alta dirección. Es imperativo desarrollar planes de respuesta ante incidentes e introducir aquellas medidas de seguridad de la información aún pendientes de implementación. Para ello, lo más conveniente es basarse en estándares acreditados como las normas ISO 22301, ISO 27001 o el ENS. Si bien ninguna de estas normativas, por sí sola, abarca completamente todos los aspectos exigidos por la directiva NIS2, estas son complementarias entre sí. Finalmente, la manera más eficaz de evidenciar el cumplimiento con los requisitos de la NIS2 es mediante la obtención de una certificación.