Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Un nuevo marco para la Ciberseguridad en la aviación civil
La gran dependencia e interconexiones tecnológicas en la aviación ha hecho la ciberseguridad un pilar esencial de la seguridad área y operacional. Teniendo en cuenta esta realidad la Unión Europea ha introducido el Reglamento 2022/1645 como marco fundamental para la seguridad aérea de la UE, que entra en vigor el 16 de octubre del 2025.
Las nuevas directrices se aplican a los a operadores de eropuertos y los proveedores de servicios de dirección de plataforma (PDS, siglas en ingles), en aras de garantizar que integren practicas solidas de ciberseguridad para evitar disrupciones e interrupciones que puedan comprometer las operaciones de aviación.
Su enfoque se introduce para hacer frente a la evaluación del panorama de las ciberamenazas en el que los ciberataques a las infraestructuras criticas como aeropuertos y redes de comunicación del tráfico aérea, se ha convertido en una preocupación creciente.
La UE impone controles y prácticas de seguridad exhaustivas para mejorar la ciberresiliencia, detectar ciberamenazas y mitigar riesgos en la aviación.
Importancia de la Ciberseguridad en la aviación
En una industria en el que la seguridad siempre ha sido la máxima prioridad, ¿se trata realmente la Ciberseguridad con el mismo nivel de urgencia que la seguridad física y operacional? A medida que los sistemas de aviación está más interconectados, ¿necesitan evolucionar las culturas tradicionales que dan prioridad a la seguridad para integrar plenamente la ciberseguridad en todos los aspectos de las operaciones?
Hay que destacar que entre que las organizaciones implicadas en funciones críticas de la aviación tienen implicaciones potenciales para la ciberseguridad, la cual están obligadas a cumplir con prácticas mejoradas de gestión de la seguridad de la información para protegerse contra los ciberincidentes y abordar los ciberriesgos asociados a la transformación digital de innovaciones emergentes y disruptivas en el sector de la aviación.
Los requisitos se han ampliado más allá de las preocupaciones tradicionales de seguridad física para abarcar evaluaciones de ciberriesgo, planificación de ciberresiliencia y notificación obligatoria de ciberincidentes.
El reglamento acota un enfoque orientado en la aplicación de controles de ciberseguridad basado en ciberriesgo que se ajusten a los objetivos de la seguridad área, la realidad y dinámica corporativa, las operaciones, la complejidad, la naturaleza, entre otros. Desde mi experiencia, al analizar la normativa tiene consideraciones muy atinadas con las metodologías de evaluaciones de ciberriesgo, gestión de vulnerabilidades, inteligencia y cacería de amenaza, gestión de incidentes y continuidad de negocio.
■ Debido a la complejidad y naturaleza de los actores maliciosos, el cumplimiento no debe considerarse un esfuerzo aislado, sino un proceso continuo de supervisión, adaptación y mejora constante. Existen diversas normas que pueden ayudar a cumplir con las exigencias regulatorias, como ISO 27001 y NIST CSF 2.0. No obstante, es necesario considerar tanto el fondo como la forma de las especificidades del sector aéreo.
Esfuerzos de adaptación y cumplimiento continuo
Para su adaptación y cumplimiento, es necesario un compromiso firme, responsabilidad y liderazgo, tanto en la gobernanza como en la estrategia de Ciberseguridad. Es necesario designar responsables de Ciberseguridad, establecer líneas claras de responsabilidad y asegurar que la seguridad esté integrada en los marcos de gobernanza enfocados en el riesgo.
Los mecanismos de cumplimiento juegan un papel importante como las auditorias periódicas, evaluaciones de seguridad y adhesión a modelos de madurez por lo que será imprescindible el mantenimiento de documentaciones detallada de las políticas de Ciberseguridad y, sobre todo, evidencias de su cumplimiento.
Podemos ver que también aborda la notificación de ciberincidentes, comparado con la directiva NIS2 que es más específica en los plazos de la alerta temprana de 24 horas y antes de 72 horas para su actualización inicial. Con la implementación del Reglamento 2022/1645, habrá disposiciones que deberán armonizarse. Es esencial gestionar eficazmente los ciberincidentes para minimizar las interrupciones operativas y evitar efectos en cascada que afecten a múltiples partes interesadas del sector aéreo.
■ Estas directrices están alineadas con las disposiciones de la Agencia de Seguridad Aérea de la Unión Europea (AESA) y aseguran la coherencia entre el cumplimiento normativo y las disposiciones de la seguridad operativa. Las directrices de AESA se centran en enfoques basados en ciberriesgo para la ciberresiliencia, la colaboración y cooperación sectorial, y el intercambio de inteligencia sobre ciberamenazas.
El Reglamento 2022/1645 instruye a las organizaciones a crear, implementar y mantener un sistema de gestión de la seguridad de la información (ISMS) para mejorar sus capacidades cibernéticas.
La seguridad en la cadena de suministro y la inversión en ciberseguridad
Un aspecto calve es la importancia de la seguridad de la cadena de suministro. El reglamento es muy claro en relación con los procesos contractuales y/o de terceros. Hay que tener en cuenta que muchos ciberincidentes pueden tener diversas fuentes, y los terceros no están exentos de ello. Especialmente en relación con las vulnerabilidades que surgen cuando no se tiene visibilidad adecuada de la infraestructura del proveedor más allá del servicio proporcionado. Los ciberatacantes aprovechan estos puntos débiles.
Con el reglamento las organizaciones deberán, por tanto, realizar evaluaciones de ciberriesgo de la cadena de suministro. De este modo pueden asegurarse de que sus terceras partes se adhieren a prácticas de ciberseguridad basado en evidencias para garantizar el cumplimiento. Aquí, medidas clave como las auditorias, los controles de ciberseguridad obligatorios por contratos, y el monitorización de terceras partes favorece en los procesos de due diligencie para la protección de la cadena de suministro de la aviación.
No se trata solo de finanzas y cumplimiento, pero hay resaltar que requiere de inversión en la infraestructura y arquitectura tecnológica, como además de las capacidades de Ciberseguridad, formación del personal y la gestión de ciberriesgos y ciberresiliencia.
■ Aunque los costes pueden representar una carga significativa, son esenciales para prevenir o mitigar situaciones potencialmente devastadoras. Por lo tanto, las organizaciones deben reconsiderar sus estrategias de Ciberseguridad y encontrar un equilibrio entre los costes de cumplimiento y la eficiencia operativa. Esto se consigue priorizando inversiones en Ciberseguridad sostenibles, adaptativas y estratégicas.
Impacto y sanciones por incumplimiento
El incumplimiento puede tener varias consecuencias jurídicas y financieras. Por ejemplo, la norma NIS2 establece claramente los valores económicos de las multas y otras sanciones correspondientes. Aunque este reglamento no especifica sanciones, en la práctica el sector aéreo está sujeto a otras regulaciones, lo que podría resultar en sanciones derivadas de dichas normativas.
Además, se debe considerar el impacto reputacional de un riesgo derivado de una brecha de seguridad en la aviación, ya que puede resultar en la pérdida de confianza de los clientes, inestabilidad financiera y un mayor escrutinio por parte de los entes reguladores.
Desde un enfoque metódico en fondo y forma, el Reglamento 2022/1645 tiene como objetivo desarrollar capacidades prácticas de proactividad, previsión y anticipación, contribuyendo así al fortalecimiento y mejora continua de la ciberseguridad, la ciberresiliencia y la gestión de ciberriesgos.
■ En el caso de NIS2, las autoridades regulatorias tienen la capacidad de imponer multas, restringir operaciones y aplicar medidas correctivas a las organizaciones que no cumplan con las disposiciones establecidas en el ámbito de la ciberseguridad.
Conclusión
De cara al futuro, todo esto representa un cambio significativo en la gobernanza de la Ciberseguridad en el sector de la aviación. Todas las partes interesadas deben mantenerse ágiles para adaptarse a las nuevas tendencias cibernéticas, asegurando el cumplimiento con las regulaciones y anticipándose a los futuros cambios que darán forma al panorama de ciberresiliencia de la industria aeronáutica.
El aumento de las tensiones geopolíticas, el incremento de las actividades de ciberdelincuentes y los rápidos avances tecnológicos subrayan la necesidad de un ecosistema aeronáutico seguro y resiliente.
Por tanto, es imperativa la adopción proactiva de esta regulación. No solo mejora la postura de ciberseguridad, sino que también contribuye al objetivo más amplio de garantizar operaciones de aviación seguras para el futuro.
■ Acceso al Reglamento Delegado (UE) 2022/1645 de la Comisión de 14 de julio de 2022 →
