NIS2 y gobierno: control de activos IT en administracion publica y defensa
En marzo de 2021, el SEPE (Servicio Publico de Empleo Estatal de Espana) sufrio un ataque de ransomware Ryuk que paralizo sus servicios durante semanas. En plena pandemia, con millones de ciudadanos dependiendo de las prestaciones por desempleo y los ERTE, las oficinas tuvieron que volver al papel. La recuperacion llevo meses. El ataque entro a traves de un correo electronico en una estacion de trabajo sin las ultimas actualizaciones de seguridad.
El sector publico es uno de los objetivos mas atacados en Europa. Y NIS2 lo ha incluido como entidad esencial.
Por que NIS2 afecta al gobierno y la defensa
NIS2 clasifica a la administracion publica como entidad esencial (Anexo I). Esto incluye organismos de la administracion central, autonomica y local que prestan servicios esenciales. En el ambito de defensa, aunque las actividades puramente militares pueden quedar fuera del ambito de NIS2, los sistemas IT de soporte administrativo y logistico si estan cubiertos.
- Inventario de activos obligatorio: todos los dispositivos de la administracion deben estar documentados
- Gestion de incidentes: notificacion al CSIRT nacional en 24/72 horas
- Responsabilidad de los altos cargos: los responsables politicos y tecnicos pueden ser considerados responsables
- Continuidad de los servicios publicos: planes que identifican que activos soportan servicios esenciales para la ciudadania
- Multas: aunque las administraciones publicas pueden tener regimenes sancionadores diferentes, NIS2 exige supervision activa
Incidentes reales en gobierno y defensa
- SEPE (Espana), 2021: Ransomware Ryuk paralizo el servicio publico de empleo. Miles de funcionarios sin acceso a los sistemas durante semanas. Millones de ciudadanos afectados en el cobro de prestaciones. Vector: email malicioso en una estacion de trabajo sin parchear.
- Ayuntamientos europeos, 2019-2023: Decenas de ayuntamientos han sido victimas de ransomware: Amberes, Frankfurt, Potsdam, Cornella de Llobregat, Jerez de la Frontera. Servicios municipales paralizados, datos de ciudadanos expuestos, procesos administrativos bloqueados durante semanas.
- SolarWinds y gobiernos, 2020: El ataque a la cadena de suministro de SolarWinds comprometio a multiples agencias gubernamentales, incluyendo el Departamento del Tesoro y el Departamento de Comercio de EE.UU. Los atacantes tuvieron acceso a correos y documentos clasificados durante 9 meses.
- Estonia, 2007: El primer ciberataque a escala nacional contra un gobierno. Ataques DDoS masivos paralizaron los sitios web del gobierno, bancos y medios de comunicacion estonios durante semanas. Este incidente impulso la creacion del Centro de Ciberdefensa de la OTAN en Tallin.
Por que el control exhaustivo de activos es imprescindible
- La administracion publica tiene activos masivamente distribuidos. Ministerios, delegaciones provinciales, oficinas locales, embajadas — cada ubicacion tiene su propio parque de dispositivos. Sin un inventario centralizado, no hay visibilidad del parque total.
- La rotacion de personal es alta. Funcionarios que cambian de puesto, interinos, personal eventual — cada movimiento implica asignacion y devolucion de dispositivos. Sin un sistema de registro, los dispositivos se pierden entre departamentos.
- Los dispositivos manejan informacion sensible. Datos de ciudadanos, documentos clasificados, informacion fiscal — un portatil perdido o un dispositivo sin cifrar es una brecha de datos potencial que puede tener consecuencias legales y politicas.
- Los presupuestos publicos exigen justificacion. Cada euro gastado en IT debe estar justificado. Un inventario de activos preciso permite planificar renovaciones, evitar duplicidades y demostrar el uso eficiente de los recursos publicos.
- Las auditorias de la intervencion general suman presion. Ademas de NIS2, los organismos de control financiero (Tribunal de Cuentas, Intervencion General) pueden auditar el inventario de activos IT como parte del patrimonio publico.
Que necesitas controlar
- Portatiles y PCs: Por funcionario, con nivel de clasificacion, cifrado y estado de parches
- Dispositivos moviles: Telefonos corporativos, tablets, con MDM y politicas de seguridad
- Equipos de comunicaciones seguras: Sistemas de cifrado, terminales seguros, radios
- Infraestructura por sede: Servidores, switches, firewalls, UPS por cada oficina publica
- Equipos de impresion y digitalizacion: Impresoras multifuncion con acceso a red y almacenamiento interno
- Sistemas de acceso: Tarjetas de identificacion, lectores biometricos, control de acceso fisico
Metrica Control ofrece el inventario centralizado que la administracion publica necesita. Cada dispositivo documentado con su sede, funcionario asignado, nivel de clasificacion, estado de parches y historial completo. Preparado para auditorias NIS2 y controles patrimoniales.
¿Listo para evaluar tu cumplimiento normativo?
Empieza tu evaluación gratuita hoy y descubre en qué punto estás con GDPR, NIS2, DORA, ISO 27001 y más.
Written by
Metrica.uno Team
Content Team
Metrica.uno Team is part of the Metrica.uno team, helping organizations navigate AI compliance with practical insights and guidance.
Artículos relacionados
3 preguntas que tu auditor NIS2 hara sobre tus dispositivos
Preparate para la auditoria NIS2: las 3 preguntas clave y como responderlas.
NIS2 y comunicaciones: gestion de activos para operadores de telecomunicaciones
Antenas, nodos de red, centralitas, equipos de fibra. Los operadores de telecomunicaciones son entidades esenciales bajo NIS2.
NIS2 e infraestructura digital: inventario de activos para proveedores cloud y datacenters
Servidores, switches, firewalls, balanceadores. Si operas infraestructura digital, NIS2 exige documentar cada componente.