Durante décadas, la seguridad en la industria química se ha construido con acero, protocolos de emergencia y formación constante. Blindajes físicos, planes contra incendios, rutas de evacuación, control de accesos. Un universo de prevención y reacción que ha permitido al sector minimizar riesgos en entornos donde cualquier incidente puede tener consecuencias críticas.
Pero el enemigo ha cambiado. No deja rastro de humo ni altera la presión de una válvula. No se oye, no se huele, no se ve. Sin embargo, puede paralizar una planta entera, alterar procesos críticos, bloquear cadenas de suministro o filtrar información clave. En el peor de los casos, podría incluso desencadenar un incidente si logra manipular los sistemas de control industrial. Es la amenaza digital. Y ha llegado para quedarse.
AVEQ-KIMIKA, la Asociación Vasca de Empresas Químicas, es consciente de la necesidad de integrar la ciberseguridad en la estrategia de autoprotección del sector. Pero la publicación, el pasado 7 de junio de 2024, de la Orden del Gobierno Vasco por la que se regula la elaboración de planes de continuidad en materia de ciberseguridad para ciertas actividades sujetas a la norma vasca de autoprotección en Euskadi ha acelerado todos los mecanismos de alerta. A esto se suma la inminente transposición de la Directiva NIS2 de la Unión Europea, que obliga a industrias estratégicas —como la química— a desplegar medidas técnicas y organizativas que garanticen su resiliencia digital.
Para abordar los desafíos AVEQ-KIMIKA organizó en Bilbao, junto al clúster GAIA (Asociación de Industrias de Conocimiento y Tecnología de Euskadi), la jornada ‘Ciberseguridad industrial y obligaciones legales en Euskadi’ que congregó más de 30 representantes empresariales.
La jornada comenzó con la intervención de Amets Moreno del Bado, coordinadora de Seguridad en AVEQ-KIMIKA, quien dio una explicación detallada de la Orden de Ciberseguridad aprobada el 7 de junio de 2024, una normativa que impacta directamente a varios sectores industriales del País Vasco. Según Moreno, la orden afecta a las empresas que ya están reguladas por el Decreto 277/2010 de Autoprotección, que establece normas para empresas cuya actividad implique riesgos significativos para la seguridad pública y el bienestar social.
Fortalecer la ciberseguridad
«El objetivo principal de la Orden es fortalecer la ciberseguridad de las empresas que gestionan actividades consideradas como esenciales para el bienestar social, la salud, la seguridad, el funcionamiento de las instituciones y la economía de la ciudadanía», explicó Moreno. También afecta a aquellas que operan en sectores de riesgo industrial como las instalaciones petrolíferas y frigoríficas, cuando se superan determinadas cantidades de productos peligrosos.
A continuación, Moreno detalló las principales obligaciones que establece la Orden para las empresas afectadas, subrayando la importancia de la elaboración de un Plan de Continuidad. Este plan, que debe ser desarrollado por todas las empresas bajo la nueva regulación, puede ser fusionado con el Plan de Autoprotección, creando un único documento que permita evitar duplicaciones innecesarias de información.
El plazo de entrada en vigor para las nuevas empresas afectadas por la normativa es el 20 de junio de 2024. En cuanto a las empresas existentes, la normativa les otorga un periodo de carencia que coincide con el periodo de revisión de su Plan de Autoprotección, lo que les permite ajustar sus planes de ciberseguridad a los nuevos requerimientos.
Una carrera de fondo
Durante la jornada, el gerente TI de Petronor, Jon Juez Badiola, compartió una visión clara y contundente sobre los desafíos que enfrenta la industria, particularmente en el ámbito de la ciberseguridad de infraestructuras críticas. Su ponencia se centró en las amenazas constantes a las que se enfrenta el sector. «Esto no es un proyecto. Es una carrera de fondo para toda la vida», advirtió Juez Badiola, resaltando que, incluso con las mejores políticas de ciberseguridad, los riesgos nunca desaparecen por completo.
En este sentido, explicó que una empresa tarda de media 21 días en recuperarse de un ataque, «y esto solo si se tiene suerte», matizó. Asimismo, alertó sobre el aumento significativo en los ataques de ransomware, que, entre 2023 y 2024, aumentaron un 18%. Estos ataques, que buscan secuestrar sistemas y exigir un rescate, «son cada vez más sofisticados», lo que plantea un reto aún mayor para las empresas en cuanto a su protección.
El representante de Petronor subrayó la importancia de las personas dentro de la ciberseguridad. «La capacitación del personal y los contratistas es la primera barrera de defensa», dijo Juez Badiola. Para ello, la refinería vasca dispone de sistemas de internos de formación, capacitación y campañas de sensibilización sobre las mejores prácticas de seguridad.
Finalmente, el máximo responsable TI de Petronor advirtió sobre los desafíos a corto plazo como la computación cuántica y la inteligencia artificial generativa que están modificando el panorama de la ciberseguridad, «creando tanto oportunidades como nuevas amenazas».
Visión integral
La jornada continuó con las intervenciones de Amaia Chaparro, directora del Sistema de Gestión de Seguridad de la Información (SGSI) y Óscar de la Fuente, director de IT en de Derten Ciberseguridad, quienes ofrecieron una visión práctica y detallada sobre cómo las empresas deben estructurar un Plan de Contingencia y Continuidad de Negocio. Asimismo, compartieron algunas recomendaciones que las empresas deben tener en cuenta al preparar sus planes. «La ciberseguridad no es infalible; siempre hay algo que falla. Lo importante es estar preparados para gestionar ese fallo de la mejor manera posible«, concluyó De la Fuente, subrayando la importancia de la resiliencia organizacional.
Análisis de la Directiva NIS2
El encuentro sobre ciberseguridad industrial finalizó con un análisis detallado de las obligaciones derivadas de la Directiva NIS2 con un desglose de los requisitos legales y técnicos impuestos por la Unión Europea, que se implementarán en el marco normativo vasco, de la mano de Diego Gil, director de Operaciones en Jakincode. Por otro lado, Juan Manuel Valiente, responsable de área jurídica en Secure&IT, abordó la perspectiva legal, detallando cómo las empresas deben cumplir con la normativa y las posibles sanciones por incumplimiento. Por último, Ander Galisteo, director de Seguridad Industrial en Cybertix, aportó un enfoque práctico de cómo integrar la ciberseguridad en los procesos industriales sin interrumpir la producción ni los protocolos operativos.
Galería de imágenes de la jornada
