La Unión Europea ha intensificado sus esfuerzos en los últimos años para fortalecer la resiliencia de la infraestructura crítica, con el objetivo de alcanzar un alto nivel de ciberseguridad en toda la región. En este contexto, una de las legislaciones más relevantes es el Ciber Solidarity Act, que establece medidas para mejorar las capacidades de la UE en la detección, preparación y respuesta ante amenazas e incidentes cibernéticos.
Dentro del ámbito de la ciberseguridad, existen diversas metodologías de pruebas de seguridad. Entre ellas, las pruebas de estrés se presentan como un método ligero y específico para evaluar la ciberseguridad y la resiliencia, aunque aún no se aplican ampliamente.
En respuesta a esta necesidad, la Agencia Europea para la Ciberseguridad (ENISA) ha desarrollado un manual que sirve como guía para las autoridades nacionales o sectoriales encargadas de supervisar la ciberseguridad y resiliencia en sectores críticos, tanto a nivel nacional como regional o europeo, conforme a la Directiva NIS 2. Este recurso también puede ser útil para otras autoridades bajo regulaciones sectoriales, como el Digital Operational Resilience Act (DORA) o la Directiva sobre Resiliencia de Entidades Críticas (CER).
Definición y propósito del ciber estrés test
El manual define una prueba de estrés cibernético como “una evaluación específica de la resiliencia de organizaciones individuales y su capacidad para soportar y recuperarse de incidentes cibernéticos significativos, garantizando la provisión de servicios críticos en diferentes escenarios de riesgo”.
Además, el manual ofrece una guía paso a paso sobre cómo realizar pruebas de estrés cibernético, detalla cómo estas evaluaciones pueden ser adecuadas para valorar la resiliencia, dependencias y riesgos sistémicos, y explica cómo llevarlas a cabo a niveles nacional, regional y europeo. Incluye un ejemplo práctico que ilustra el proceso en el sector sanitario europeo.
A lo largo del documento se ofrecen recomendaciones valiosas en cada etapa del proceso. Estas incluyen consideraciones sobre cómo las decisiones relacionadas con el número y tipo de entidades evaluadas pueden influir en los resultados y complejidad del test, así como consejos sobre el desarrollo de escenarios y el uso de métricas de resiliencia para identificar brechas y problemas tanto a nivel individual como sectorial.
Una herramienta esencial para las autoridades competentes nacionales
Las pruebas de estrés cibernético son una herramienta valiosa dentro del conjunto regulatorio disponible para las autoridades nacionales. Complementan otras actividades y permiten una supervisión más eficiente y dirigida hacia sectores críticos. ENISA se compromete a seguir brindando el apoyo necesario a las autoridades y agencias tanto a nivel nacional como europeo en la realización de pruebas de estrés cibernético.
Si (
No(
