Cumplimiento de NIS2 para el sector del agua potable

El agua potable segura y fiable es un servicio público fundamental en toda la Unión Europea. Las plantas de tratamiento, las redes de distribución y los sistemas de control de calidad dependen cada vez más de sistemas de control digitales y tecnologías de monitorización remota. A medida que estos sistemas se interconectan, también aumentan su exposición al riesgo cibernético.

La Directiva NIS2 establece obligaciones de ciberseguridad a nivel de la UE para entidades Essential e Important y amplía significativamente el alcance del marco NIS original. El cumplimiento de NIS2 para el sector del agua potable refleja la importancia crítica de proteger la infraestructura de suministro de agua frente a interrupciones, contaminación o fallos en el servicio.

La Directiva se aplica a organizaciones medianas y grandes que operan en sectores designados, incluido el agua potable. Muchas utilities públicas y privadas pueden entrar en el alcance según su tamaño y escala operativa.

Si su organización opera en el sector del agua potable, puede estar sujeta a NIS2 como Essential o Important.

El sector del agua potable se clasifica como:

Anexo relevante: Anexo I (Entidades esenciales)

• Entidad esencial según el Anexo I

• Suministradores y distribuidores de agua destinada al consumo humano, excluyendo a los distribuidores para los cuales la distribución de agua es una parte no esencial de su actividad general de distribuir otras mercancías y bienes

Cobertura del subsector (Annex I – Agua potable):

El cumplimiento de NIS2 para el sector del agua potable se aplica a:

Esto incluye utilities municipales de agua, autoridades regionales del agua y operadores privados responsables de sistemas de tratamiento y distribución que cumplan los umbrales de tamaño de la UE.

Incluso las PYMES pueden entrar en el alcance si satisfacen los umbrales de tamaño de NIS2 o son designadas como proveedores críticos por las autoridades nacionales. La aplicabilidad de NIS2 a PYMES es por tanto relevante para operadores regionales y intermunicipales que gestionan infraestructura crítica del agua.

• Empresas de tamaño medio (≥50 empleados y/o €10 millones de facturación anual o total del balance)
• Grandes empresas que exceden esos umbrales
• Entidades designadas como proveedores críticos de agua según la legislación nacional, cuando proceda

De conformidad con el artículo 21 de la Directiva NIS2, las entidades de agua potable deben implementar medidas técnicas y organizativas apropiadas y proporcionadas para gestionar los riesgos de ciberseguridad.

Las medidas obligatorias incluyen:

Para el sector del agua potable, estas medidas de seguridad NIS2 deben abordar los sistemas de control industrial (ICS), los sistemas de control y adquisición de datos (SCADA), las estaciones de bombeo remotas y las tecnologías de monitorización de la calidad del agua.

El cumplimiento de NIS2 para el sector del agua potable requiere una segmentación sólida entre los entornos de TI y tecnología operativa. Las entidades deben garantizar la resiliencia frente a incidentes cibernéticos que puedan interrumpir la continuidad del suministro o comprometer los procesos de tratamiento del agua.

• Marco de gestión de riesgos
• Procedimientos de gestión de incidentes
• Continuidad del negocio y recuperación ante desastres
• Seguridad de la cadena de suministro
• Desarrollo seguro y mantenimiento
• Políticas sobre cifrado y criptografía
• Control de acceso y autenticación multifactor (MFA)
• Gestión de vulnerabilidades y parches
• Formación en higiene cibernética
• Uso de comunicaciones seguras

Las entidades del agua potable deben cumplir los plazos de notificación de incidentes de NIS2 para incidentes significativos.

Las obligaciones de notificación incluyen:

Los informes deben presentarse al CSIRT nacional relevante o a la autoridad competente.

La regla de notificación de 24 horas de NIS2 es particularmente importante cuando los incidentes afectan a sistemas de tratamiento, infraestructuras de bombeo o redes de distribución. Cualquier evento cibernético que interrumpa la continuidad del suministro o amenace la calidad del agua puede calificarse como significativo.

El incumplimiento de los plazos prescritos para notificar puede dar lugar a medidas de ejecución regulatorias y sanciones económicas.

El cumplimiento de NIS2 para el sector del agua potable impone responsabilidad directa al órgano de dirección.

Requisitos clave de gobernanza incluyen:

Article 21 of the NIS2 Directive elevates cybersecurity from a technical issue to a board-level responsibility. La alta dirección de las utilities de agua debe asegurarse de que los controles y las medidas de continuidad apropiadas estén documentados, implementados y revisados periódicamente.

Dadas las implicaciones para la salud pública de una interrupción del servicio de agua, las deficiencias de gobernanza pueden tener graves consecuencias operativas y legales.

• Aprobación de las medidas de gestión de riesgos de ciberseguridad por parte del órgano de dirección
• Supervisión continua de la implementación
• Formación obligatoria en ciberseguridad para la dirección
• Posible exposición a responsabilidad personal bajo la legislación nacional

Como entidades Annex I, los suministradores de agua clasificados como Essential están sujetos a supervisión proactiva. Las autoridades competentes pueden llevar a cabo auditorías, inspecciones y evaluaciones de ciberseguridad independientemente de si ha ocurrido un incidente.

Las multas administrativas por incumplimiento son:

Las leyes de transposición nacionales pueden precisar los procedimientos de supervisión, pero la Directiva establece umbrales mínimos armonizados de sanción entre los Estados miembros.

Debido a la naturaleza esencial del suministro de agua potable, se espera que la ejecución se centre en la resiliencia, la mitigación de riesgos y la continuidad operativa.

• Entidades esenciales: Hasta €10 millones o el 2% de la facturación anual mundial total (el que sea mayor)

Las PYMES del sector del agua potable deberían dar pasos estructurados hacia el cumplimiento de NIS2:

La preparación temprana reduce el riesgo de ejecución y protege la continuidad del servicio.

1. Realizar una evaluación de brechas frente a NIS2
2. Mapear la infraestructura crítica de tratamiento y distribución
3. Formalizar un marco documentado de gestión de riesgos de ciberseguridad
4. Actualizar y probar los planes de respuesta a incidentes y de continuidad
5. Revisar los contratos con proveedores y con proveedores de SCADA
6. Capacitar a la dirección y a los responsables operativos
7. Establecer un flujo de trabajo de notificación 24h/72h/1 mes

Las entidades del agua potable se enfrentan a riesgos específicos del sector bajo NIS2:

El cumplimiento de NIS2 para el sector del agua potable es por tanto un requisito central de resiliencia para la protección de la salud pública.

• Interrupción del servicio: Los incidentes cibernéticos pueden interrumpir el tratamiento o la distribución del agua.
• Exposición a la salud pública: Los sistemas comprometidos podrían afectar los controles de calidad del agua.
• Compromiso de la cadena de suministro: Los proveedores tecnológicos pueden introducir vulnerabilidades.
• Multas regulatorias: El incumplimiento puede dar lugar a sanciones económicas sustanciales.
• Daño reputacional: La confianza pública en la seguridad del agua es muy sensible a las fallas del servicio.