Ciberseguridad para la industria de máquinas-herramienta

A medida que la digitalización se vuelve más frecuente en todas las industrias, existe una creciente necesidad de que las empresas aumenten las medidas de seguridad frente a los ciberriesgos. Como en otros sectores, la industria de máquina-herramienta percibe la ciberseguridad como un riesgo tecnológico y un riesgo empresarial. El equipamiento, el tiempo de actividad, los secretos comerciales, el valor de marca, la propiedad intelectual e incluso la seguridad personal deben protegerse frente a intrusiones maliciosas en la red, el sabotaje por parte de empleados o la manipulación accidental. De todo ello habla Cecimo en el documento “Cybersecurity for the Machine Tools Industry”.

Los legisladores de la UE han trabajado intensamente para aumentar el nivel de ciberresiliencia de diferentes sectores (incluyendo la fabricación), fortaleciendo los requisitos de ciberseguridad para las empresas y abordando la seguridad de las cadenas de suministro, así como asegurando las relaciones con los proveedores.
Dada la relevancia de este tema para el sector de la máquina-herramienta y la importancia de subrayar los principales desafíos y acciones para incrementar la ciberseguridad del sector, el trabajo “Cybersecurity for the Machine Tools Industry” de Cecimo incluye:

• Una visión general del apartado legislativo.
• Ciberseguridad para la máquina-herramienta.
• Ejemplos de vulnerabilidades frente a los ciberataques.
• Contramedidas: actuaciones nacionales.
• Recomendaciones de Cecimo.

Resumen legislativo
La economía de la UE se ha vuelto más dependiente de las redes y los sistemas de información y está expuesta a los ciberataques. Para responder a estas crecientes amenazas, la Comisión Europea (CE) ha emprendido diferentes iniciativas para fortalecer la seguridad de los actores económicos europeos que operan a través de sistemas digitales.
La Directiva sobre Seguridad de Redes y Sistemas de Información (Directiva NIS) fue adoptada en 2016 con el objetivo de mejorar los requisitos de seguridad, abordar la ciberseguridad de las cadenas de suministro, implementar medidas de supervisión y aplicación más estrictas y aumentar los niveles de seguridad a largo plazo en toda Europa. Uno de los pilares de esta ley fue la implementación de la gestión de riesgos y las obligaciones de reporte para los Operadores de Servicios Esenciales (OES) y los Proveedores de Servicios Digitales (DSP).
En 2019, la Comisión Europea adoptó la Ley de Ciberseguridad de la UE (CSA) para definir un marco de certificación estandarizado de ciberseguridad para productos, servicios y procesos de TI. Esta legislación otorga a Enisa (Agencia de Ciberseguridad de la UE) el mandato de establecer y mantener dicho marco, que fomenta la cooperación operativa entre los Estados miembros en materia de certificados de ciberseguridad.
En 2020, la Comisión Europea presentó una propuesta de Directiva sobre medidas para un alto nivel compartido de ciberseguridad en toda la UE (Directiva NIS2), de cara a ampliar el ámbito de aplicación de la Directiva NIS, reforzar las medidas de supervisión y aplicación y fortalecer la autonomía estratégica de la UE.
La Directiva NIS2 es particularmente importante para el sector de las máquinas-herramienta:

• Ya no habrá una distinción entre OES y proveedores de servicios digitales, sino que se categorizará a las entidades entre esenciales e importantes, con el sector de fabricación incluido en el segundo grupo.
• Las categorías esenciales e importantes deberán cumplir con los requisitos de gestión y presentación de informes de ciberseguridad; sin embargo, la principal diferencia radica en los regímenes de control y sanción. Las entidades esenciales están sujetas a un régimen de supervisión ex ante y responsabilidad penal, mientras que las entidades importantes están sujetas a una supervisión ex post más leve en caso de incumplimiento.
• Las entidades importantes se consideran bajo la jurisdicción del Estado miembro en el que prestan sus servicios. Si la entidad presta servicios en más de un Estado miembro, debe estar bajo la jurisdicción de cada uno de estos Estados miembros.
• Los Estados miembros están obligados a garantizar el cumplimiento de los requisitos de notificación de incidentes y seguridad. Las autoridades nacionales competentes deben actuar cuando se les proporcione evidencia o indicios de que una entidad importante no cumple con los requisitos de notificación de incidentes y seguridad.
• Los Estados miembros deben garantizar que las entidades importantes, incluyendo los fabricantes de máquinas-herramienta, implementen medidas de gestión de riesgos de ciberseguridad y sigan una formación regular para adquirir las habilidades necesarias para evaluar las amenazas a la ciberseguridad.

En mayo de 2022, el Parlamento Europeo y el Consejo de la UE alcanzaron un acuerdo político provisional sobre la Directiva NIS2. Los Estados miembros tendrán 21 meses a partir de la entrada en vigor de la Directiva NIS2 para incorporar las disposiciones en su legislación nacional.
Por su parte, la propuesta de la CE para una Ley de Resiliencia Cibernética (CRA) abordará las necesidades de mercado y protegerá a los consumidores frente a productos inseguros, al introducir normas compartidas de ciberseguridad para fabricantes y proveedores de servicios auxiliares y digitales tangibles e intangibles.

Ciberseguridad para máquinas-herramienta
Las máquinas-herramienta son bienes de capital de larga duración que a menudo funcionan durante décadas, por lo que una gran parte del equipo instalado en una fábrica típica requiere soluciones de seguridad de Tecnología Operativa (OT).
Además, las máquinas-herramienta son sistemas tecnológicos complejos que están:

• Compuestos por varios subsistemas (por ejemplo, HMI, puertas de enlace de conectividad, etc.).
• Conectados a varias unidades (por ejemplo, almacenes de carga, sistemas de refrigeración, unidades hidráulicas, etc.).
• Adaptados regularmente por y con el cliente y, a menudo, complementados con mejoras por parte de terceros (por ejemplo, monitorización de rotura de herramientas).
• Modificados a lo largo de los años durante su uso.