El informe NIS360 de ENISA proporciona una evaluación anual sobre la madurez y criticidad de los sectores críticos bajo la Directiva NIS2, apoyando a autoridades nacionales y responsables políticos en la mejora de la ciberseguridad. Juhan Lepassaar, director ejecutivo de ENISA, destaca avances significativos en la implementación del marco regulatorio de ciberseguridad de la UE. El NIS360 identifica sectores con baja madurez y alta criticidad, como salud y transporte ferroviario, mientras que se observa una mejora general en la madurez cibernética en toda Europa. Las inversiones en ciberseguridad son impulsadas por legislación y atención política, lo que sugiere un futuro prometedor para el fortalecimiento de la resiliencia cibernética. Para más detalles, visita el enlace del informe completo.
La ENISA NIS360 se presenta como una herramienta de evaluación anual destinada a apoyar a las autoridades nacionales, responsables de políticas y otros interesados en la valoración de la madurez y criticidad cibernética de sectores considerados de alta relevancia bajo la Directiva NIS2. El Director Ejecutivo de ENISA, Juhan Lepassaar, destacó que: “Los hallazgos de este informe NIS360 ofrecen motivos para ser optimistas. La implementación del marco regulatorio integral de ciberseguridad de la UE, y en particular el NIS2, ha traído mejoras significativas. ENISA aboga por priorizar la ciberseguridad y avanzar en la aplicación de políticas europeas, vitales en este momento para fortalecer la resiliencia cibernética de nuestra infraestructura crítica y sociedades”.
Este informe adopta un enfoque integral, considerando que cada sector incluye actores relevantes (como autoridades nacionales, entidades y organismos de la UE) así como normativas aplicables (legislación europea). En este contexto, la madurez de un sector según el NIS360 se determina por: la legislación y su efectividad, la preparación empresarial, la capacidad institucional de las autoridades y las estructuras del ecosistema sectorial junto con su eficacia.
La evaluación se basa en una metodología estructurada desarrollada y continuamente perfeccionada por ENISA, que toma en cuenta la naturaleza estructural y evolutiva de la madurez cibernética y criticidad sectorial. Además, se apoya en evidencias recopiladas a lo largo del tiempo desde organizaciones operando dentro de los sectores evaluados, autoridades nacionales que supervisan dichas organizaciones, así como datos a nivel europeo, reflejando nuestra comprensión actual basada en evidencia sobre el estado de cada sector.
Como resultado, el NIS360 proporciona tanto una visión comparativa entre sectores como un análisis más detallado por sector para identificar brechas y priorizar recursos.
Una combinación e interpretación conjunta de las dimensiones de criticidad y madurez ayuda a identificar áreas donde existen desajustes entre ambas y definir una zona de riesgo. Esta zona incluye sectores con una madurez inferior a la media y una criticidad que supera su madurez. Este año, los sectores incluidos en esta zona son: sistemas de salud, ferrocarril, marítimo, servicios de gestión TIC, espacio, administraciones públicas, agua potable y aguas residuales.
La composición de esta zona cambia con el tiempo a medida que mejora la madurez general entre los sectores. Este fenómeno explica por qué tres sectores —ferrocarril, agua potable y aguas residuales— que anteriormente estaban al borde de la zona de riesgo ahora se encuentran dentro. Un desarrollo positivo es que el sector del gas ha comenzado a salir de esta zona.
Dicha evolución es impulsada por una mejor compartición de información, colaboración más fuerte e implementación efectiva de medidas de gestión del riesgo que conducen a una mayor madurez. Mientras que la criticidad de los sectores está definida por el NIS2, la evaluación NIS360 clasifica los sectores teniendo en cuenta varios elementos como relevancia sistémica, exposición e impacto ante interrupciones. Dado que estos factores suelen cambiar gradualmente, las puntuaciones de criticidad tienden a permanecer relativamente estables año tras año.
En esta edición se destacan bancos, electricidad, aviación, espacio, y servicios digitales predeterminados (incluyendo telecomunicaciones, nube y centros de datos) como los más críticos. El espacio se ha unido a este grupo este año debido a su creciente papel en la sociedad y otros sectores, aumentando así dependencia e impacto crítico temporal.
El sector ferroviario ha incrementado su criticidad, reflejando su creciente importancia en logística militar y una mayor exposición a amenazas cibernéticas. La madurez se mide por cómo efectivamente un sector gestiona los riesgos cibernéticos y sus capacidades con el tiempo; esto implica una preparación general del sector. Desde la edición anterior del informe parece haber una mejora constante en cuanto a madurez cibernética entre los sectores críticos europeos.
Tres sectores —servicios fiduciarios, aviación e infraestructuras del mercado financiero (FMIs)— han alcanzado ahora un alto nivel de madurez. Además, cuatro sectores han fortalecido su posición dentro del rango moderado: gas, carretera, marítimo y salud.
A pesar del avance constante en madurez entre los sectores críticos europeos, el progreso sigue siendo desigual tanto entre diferentes sectores como dentro del mismo. Diversos factores contribuyen a estas variaciones incluyendo escasez de habilidades específicas del sector e incluso características organizativas.
Se anticipa que futuras legislaciones sobre ciberseguridad junto con esfuerzos organizacionales para fortalecer su madurez seguirán impulsando inversiones en seguridad cibernética y mejorando así la preparación general.