La nueva legislación NIS2 y cómo puede afectar al sector turístico

El pasado diciembre de 2022 se publicó la nueva versión de la norma destinada a la garantía de la ciberseguridad en la Unión Europea, de tanta necesidad por la coyuntura que vivimos actualmente en el panorama de ciberataques. La directiva establece una serie de medidas técnicas, operativas y organizativas que deben cumplir todos los estados miembros de la Unión Europea. Las empresas que deberán cumplir con la normativa son la consideradas por cada estado miembro como esenciales e importantes, para garantizar la seguridad de las infraestructuras críticas y la cadena de suministro. ¿Cuáles son este tipo de empresas? Entre las esenciales, podemos encontrar las empresas de transporte (tanto aéreo, como ferrocarril o marítimo y carretera), sector sanitario, proveedores de infraestructura digital (servicios cloud, distribución de contenidos, servicios de confianza, etc.). En cambio, las empresas importantes pueden ser servicios de mensajería, producción, transformación y distribución de alimentos, o proveedores de mercados en línea.

Para estas empresas, la Directiva establece en primer lugar medidas de gobernanza como estrategias de comunicación de ciberincidentes, aplicar planes de gestión de crisis de ciberseguridad, designar equipo de respuesta que garanticen la correcta gestión de la crisis. Pero donde realmente encontramos las líneas maestras, es en el apartado de gestión de riesgos de ciberseguridad, con medidas como:

- Políticas de seguridad de los sistemas de información y análisis de riesgos.

- Continuidad de las actividades, como la gestión de copias de seguridad y la recuperación en caso de catástrofe.

- Seguridad en la cadena de suministro.

- Establecimiento de políticas y procedimientos de gestión de la ciberseguridad.

- Seguridad en la adquisición, desarrollo y mantenimiento de redes y la información.

- Gestión de vulnerabilidades.

- Seguridad en los recursos humanos.

- Uso de multifactor de autenticación, entre otras medidas.

A pesar de que el sector de la hostelería no se ha visto incluido explícitamente en la norma (recuerden, sí las empresas de transporte o las de alimentación), es una realidad la interconexión existente en el sector, con diversas plataformas de captación de clientes, reservas, intercambio de información, etc. Esta cadena de suministro conlleva la necesidad de implantar medidas de ciberseguridad e inteligencia de amenazas, que permitan disminuir los fraudes que cada vez más se están sucediendo en el entorno. Recuerden los casos de suplantación de Booking o proveedores, que impactan en toda la cadena de suministro turístico, aprovechando la antes mencionada dependencia digital en el sector.

A lo largo de 2024 se deberá implantar dicha Directiva en las empresas que aparecen en su ámbito de aplicación, pero recomendamos estar atentos a cómo va a transformar el panorama de la ciberseguridad. La armonización legislativa está siendo impulsada de forma contundente en Europa, con el objetivo de establecer directrices unificadas y claras a los diversos estados. Esperemos que este impulso se traduzca en una definitiva apuesta por la ciberseguridad, como uno de los ejes principales de actuación de los diversos sectores económicos del país.

Xavier Ferretjans

Director de BinauraMONLEX

xferretjans@binauramonlex.com