La Agencia de Ciberseguridad de la Unión Europea (Enisa) ha publicado una nueva edición de su informe NIS360, en el que se analiza la madurez en ciberseguridad y la criticidad de los sectores considerados esenciales bajo la directiva NIS2. El documento señala una mejora general en la preparación de los sectores críticos, mientras que los niveles de criticidad se mantienen relativamente estables.
El informe tiene como objetivo servir como herramienta anual de referencia para autoridades nacionales, responsables políticos y organismos europeos a la hora de evaluar el estado de la ciberseguridad en sectores estratégicos.
Mejora general de la madurez en ciberseguridad
Según Enisa, la madurez en ciberseguridad de los sectores críticos de la UE continúa mejorando de forma constante, impulsada por la aplicación del marco regulatorio europeo y por una mayor adaptación de las organizaciones a las amenazas digitales.
El análisis indica que algunos sectores han alcanzado niveles más altos de preparación, mientras que otros han reforzado su posición dentro de niveles intermedios de madurez. Entre los factores que explican esta evolución se encuentran el avance de la legislación en ciberseguridad, el aumento de la inversión en protección digital y una mayor concienciación sobre los riesgos.
No obstante, el informe advierte de que el progreso sigue siendo desigual entre sectores, debido a diferencias en recursos, capacidades técnicas y características estructurales.
Sectores más críticos y cambios en la evaluación
El informe mantiene como sectores de mayor criticidad a la banca, la electricidad, la aviación, el espacio y los servicios digitales esenciales, como telecomunicaciones, nube y centros de datos.
En esta edición, el sector espacial se incorpora con mayor peso dentro del grupo de alta criticidad, reflejando su creciente relevancia para otros sectores económicos y sociales. También se observa un aumento de la criticidad en el sector ferroviario, asociado a su papel en la logística y a una mayor exposición a riesgos cibernéticos.
En conjunto, la criticidad de los sectores se mantiene estable, ya que estos factores evolucionan de forma más gradual que la madurez en ciberseguridad.
Sectores en zona de riesgo
El informe identifica una zona de riesgo que combina baja madurez y alta criticidad. En ella se incluyen actualmente sectores como sanidad, ferrocarril, marítimo, servicios de gestión TIC, espacio, administraciones públicas, agua potable y aguas residuales.
Aismismo, Enisa señala que esta composición varía con el tiempo. En esta edición, algunos sectores han mejorado su posición, mientras que otros han entrado en la zona de riesgo debido a cambios en la evaluación de su madurez.
De cara al futuro, la agencia europea prevé que la aplicación de la normativa NIS2 y el aumento de las inversiones en ciberseguridad continúen impulsando la mejora de la madurez en los distintos sectores. El objetivo es reducir progresivamente la brecha entre criticidad y preparación, de forma que más sectores puedan salir de la zona de riesgo en los próximos años.