Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Banca y Finanzas
Ciudades Inteligentes
Sector Público
NIS2 y criptografía poscuántica: cómo abordar el reto del cumplimiento y la ciberresiliencia
La ciberseguridad enfrenta nuevos desafíos con la llegada de los ordenadores cuánticos criptográficamente relevantes (CRQC). En Europa, las empresas deben cumplir normativas estrictas para proteger datos y fortalecer su resiliencia. La Directiva NIS2 es clave en la transición a la criptografía poscuántica y en la gestión moderna de riesgos.
En este contexto, la Directiva NIS2 (EU) 2022/2555 no prescribe qué algoritmos se deben utilizar, sino que obliga a las empresas a demostrar que pueden cambiarlos. Al integrar controles basados en el riesgo, inventarios de activos y dependencias, garantía de la cadena de suministro, notificación de incidentes y continuidad del negocio en la gobernanza de la seguridad, la Directiva NIS2 crea la estructura necesaria para la transición hacia la criptografía poscuántica (PQC).
Cabe destacar que la directiva pone especial énfasis en la política criptográfica, la gestión del ciclo de vida de las claves, el desarrollo seguro y la supervisión de terceros. Este enfoque transforma la simple “elección criptográfica” en una verdadera “gestión criptográfica”, permitiendo así que los cambios de algoritmos sean procesos comprobables, auditables y rutinarios.
■ En la práctica, eso significa mapear dónde se encuentra la criptografía, clasificar los datos por tiempo de sensibilidad, planificar implementaciones híbridas y aplicar rutas de actualización con los proveedores, exactamente la fuerza operativa necesaria para pasar de la criptografía clásica a la poscuántica.
NIS2 no impone algoritmos: impone la capacidad real de cambiarlos.
De la elección criptográfica a la gestión criptográfica basada en riesgo
Esto se refleja en el artículo 21 de las Medidas para la gestión de riesgos de ciberseguridad, concretamente en la sección 2, que estipula que las medidas (técnicas, operativas y organizativas adecuadas y proporcionadas ) que se adopten deben basarse en un enfoque integral basado en el riesgo.
Dichas medidas deben tener por objeto proteger los sistemas de redes e información, así como el entorno físico que los sustenta, contra posibles incidentes. En consecuencia, el apartado h) se refiere al establecimiento de políticas y procedimientos relacionados con el uso de la criptografía y, cuando proceda, el cifrado.
Y esto como lo aterrizamos, si vamos al Reglamento de Ejecución (UE) 2024/2690 en el apartado 9. Criptografía (artículo 21, apartado 2, letra h), de la Directiva (UE) 2022/2555, las entidades deberán ejecutar y aplicar prácticas criptográficas con la misión de asegurar su uso adecuado, al tiempo que protegen la confidencialidad, autenticidad e integridad de la información en consonancia con la clasificación de activos y los resultados de la evaluación de riesgos
¿Cuál es el ancla para ir avanzando?
- Inventario y clasificación de activos.
- Medidas criptográficas existentes y necesarias para proteger los activos.
- Gobierno del dato (incluidos los datos en reposo y los datos en tránsito).
- Protocolos o familia de protocolos que se adoptaran (algoritmos criptográficos, la solidez del cifrado, las soluciones criptográficas).
- Prácticas de uso (deben aprobarse y exigirse).
- Foco en la agilidad criptográfica o criptoagilidad.
- Enfoque en la gestión de claves y sus métodos.
Requiere prestar atención a la gestión de claves en todo su ciclo de vida, incluyendo:
- Generación para sistemas y aplicaciones criptográficas;
- Emisión y obtención de certificados de clave pública;
- Distribución segura a las entidades pertinentes con procedimientos de activación;
- Almacenamiento y acceso controlado para usuarios autorizados;
- Activación y desactivación de claves dentro de períodos de validez definidos de acuerdo con las políticas de la organización;
- Procesos de cambio o actualización de claves, incluyendo plazos y métodos;
- Gestión de claves en riesgo;
- Procedimientos de revocación, retirada o desactivación;
- Recuperación de claves perdidas o dañadas;
- Copias de seguridad y archivo para garantizar la continuidad y la rendición de cuentas;
- Destrucción segura al final de su vida útil;
- Registro y auditoría de todas las actividades de gestión de claves.
- Establecer períodos de validez de las claves para garantizar que solo se utilicen dentro de los plazos aprobados, de acuerdo con las políticas.
■ Al igual que otras directivas, la Directiva NIS2 promueve la mejora continua. Por ello, se recomienda que las entidades revisen y, cuando corresponda, actualicen sus orientaciones y procedimientos en intervalos planificados, considerando los avances más recientes en criptografía.
Prepararse hoy es la única forma de llegar a 2030 con activos verdaderamente resilientes.
La hoja de ruta europea hacia la criptografía poscuántica y la criptoagilidad
Todo anterior lo podemos correlacionar con la hoja de ruta de implementación para la transición a la criptografía poscuántica de la Unión Europea, que busca una transición oportuna, integral y coordinada. A partir de 2026, se destacarán las evaluaciones y la estimación del riesgo cuántico; para 2030, se prevé la finalización de la transición a criptografía poscuántica (PQC) y la migración de los activos correspondientes.
Por otro lado, ENISA en su Guía de implementación técnica de NIS2, exhorta de manera explícita la preparación para el futuro mediante la consideración de algoritmos criptográficos cuánticos. A la vez enfatiza en la adopción de un enfoque en criptoagilidad, teniendo en cuenta:
- Flexibilidad en la selección de algoritmos;
- Diseño modular de la arquitectura, de modo que los componentes criptográficos puedan modificarse o actualizarse de forma independiente sin afectar a todo el sistema;
- Actualizaciones y parches periódicos;
- Cumplimiento de los marcos legislativos y la gobernanza del uso de la criptografía dentro de las redes y los sistemas de información de las entidades;
La transición a la PQC, además de una actualización tecnológica, es una necesidad estratégica y normativa en virtud de la Directiva NIS 2 y sus próximos actos de ejecución. Las empresas de todos los sectores críticos deben actuar con decisión para evaluar sus dependencias criptográficas, identificar vulnerabilidades e iniciar un plan de migración estructurado.
■ La integración de la PQC en los marcos de cumplimiento y gobernanza representa, además del cumplimiento de la normativa, una medida proactiva para garantizar la integridad y la resiliencia de los datos a largo plazo frente a las nuevas amenazas cuánticas.
Mitigar el riesgo cuántico empieza por asumir que los algoritmos actuales no serán eternos.
DORA y el sector financiero: criptografía “quantum-ready” como obligación de resiliencia
Por tanto, es preciso señalar que el Reglamento (EU) 2022/2554 de Resiliencia operativa digital del sector financiero (DORA), mediante su Reglamento Delegado (EU) 2024/1774 sobre las normas técnicas reglamentarias (conocida como RTS) que especifican las herramientas, métodos, procesos y políticas de gestión de riesgos de las TIC, así como el marco simplificado de gestión de riesgos de las TIC.
Aborda en la Sección 4 de Encriptación y criptografía en su Artículo 6 de Encriptación y controles criptográficos y el Articulo 7 de Gestión de claves criptográficas. Invitan a las entidades financieras a:
“Adoptar políticas de cifrado y gestión de claves basadas en riesgos y estándares avanzados, porque los sistemas actuales de cifrado y claves están amenazados por futuros ordenadores cuánticos capaces de romper algoritmos como RSA y ECC. La obligación de actualizar tecnologías criptográficas según avances en criptanálisis, junto con la gestión completa del ciclo de vida de claves, implica que las entidades deben prepararse para migrar hacia algoritmos PQC, fortalecer su resiliencia frente a ataques cuánticos y asegurar que sus controles, claves y certificados sean quantum-ready."
■ Básicamente esta RTS llama a la acción con un enfoque flexible, basado en la mitigación y el control de riesgos, para hacer frente al panorama de las amenazas criptográficas, incluidas las amenazas derivadas de los avances cuánticos.
La resiliencia digital financiera exige cifrado y gestión de claves preparados para el impacto cuántico.
Criptoagilidad como ventaja competitiva en la era cuántica
Por otro lado, el estándar PCI-DSS (Payment Card Industry Data Security Standard), en el Requisito 12.2.3 “Los conjuntos de cifrado criptográfico y los protocolos en uso se documentan y revisan al menos una vez cada 12 meses”, pone en relieve la criptoagilidad para garantizar que se disponga de una alternativa al método de cifrado original o a la primitiva criptográfica, con planes para actualizar a la alternativa sin cambios significativos en la infraestructura del sistema.
La criptoagilidad es la diferencia entre reaccionar tarde o liderar la transición.
Si las entidades conocen con anticipación cuándo los organismos de normalización descartarán protocolos o algoritmos, deben implementar planes proactivos para actualizarse antes de que esto afecte sus operaciones. Además, es recomendable seguir la NIST SP 800-131, Transitioning the Use of Cryptographic Algorithms and Key Lengths.
En el contexto del avance hacia la era cuántica, la preparación será un factor determinante para el liderazgo en ciberseguridad. Las empresas que adopten una postura proactiva y se adapten oportunamente podrán fortalecer su confianza y continuidad digital. Por el contrario, aquellas que retrasen su transición estarán expuestas tanto a riesgos de incumplimiento como a posibles disrupciones derivadas de la tecnología cuántica.
El futuro cuántico no espera y su resiliencia criptográfica tampoco debe hacerlo.
