NIS2 y ciberseguridad de operadores de agua: obligaciones, plazos y responsabilidad directiva

La Directiva NIS2 (UE 2022/2555) clasifica a los operadores de agua como entidades esenciales, les exige gestión integral de riesgos, notificación de incidentes en 24 horas y responsabilidad personal de la dirección. Complementa a la Directiva CER (UE 2022/2557) sobre resiliencia física. El caso Oldsmar 2021 demostró la urgencia.

La ciberseguridad NIS2 aplicada a operadores de agua es el régimen jurídico europeo que obliga a las empresas de abastecimiento y saneamiento a implantar medidas técnicas y organizativas de gestión de riesgos, seguridad de la cadena de suministro, notificación acelerada de incidentes y auditorías independientes. La Directiva (UE) 2022/2555, adoptada en diciembre de 2022 con plazo de transposición hasta octubre de 2024, eleva el sector del agua a la categoría más estricta de entidades esenciales. Supone un cambio de paradigma: la infraestructura hídrica deja de ser competencia exclusiva ambiental y pasa a formar parte del núcleo de la seguridad nacional europea, como explica Dr. Raphael Nagel (LL.M.) en WASSER. MACHT. ZUKUNFT., Agua. Poder. Futuro.

¿Qué exige NIS2 a los operadores de agua en 2025?

NIS2 clasifica al abastecimiento y saneamiento de agua como entidades esenciales, sometidas al régimen más estricto: gestión integral de riesgos, seguridad de la cadena de suministro, notificación inicial de incidentes en 24 horas, informe detallado en 72 horas y auditorías independientes. La Directiva (UE) 2022/2555 debía transponerse antes del 18 de octubre de 2024.

La intensidad normativa supera con mucho a la NIS original de 2016. Ya no basta con designar un responsable de seguridad ni con declarar políticas. El texto exige procedimientos verificables de análisis de riesgos, continuidad operativa, cifrado, gestión de accesos, pruebas periódicas y formación obligatoria de la dirección. La Agencia Europea de Ciberseguridad ENISA publica directrices técnicas y gestiona el grupo de cooperación entre autoridades nacionales.

Dr. Raphael Nagel (LL.M.), jurista y Founding Partner de Tactical Management, subraya que el verdadero salto es doctrinal: el agua deja de tratarse como servicio municipal y pasa a formar parte del perímetro de seguridad nacional de la Unión. Las consecuencias presupuestarias son inmediatas. La brecha de inversión europea en infraestructura hídrica asciende a 23.000 millones de euros anuales según la Comisión, y una fracción creciente corresponde ahora a ciberseguridad y resiliencia, no solo a tuberías y plantas depuradoras.

Oldsmar 2021: el ataque que redefinió el riesgo hídrico

El 5 de febrero de 2021, un atacante accedió remotamente al sistema de control de la planta de Oldsmar, Florida, y elevó la dosis de hidróxido de sodio en el agua potable al 111 veces el valor normal. Un operador detectó el movimiento anómalo del cursor y revirtió la orden antes de que el producto llegase a los 15.000 vecinos.

El caso es doctrinalmente decisivo no por su sofisticación sino por su banalidad. Los atacantes usaron TeamViewer, software de escritorio remoto instalado millones de veces. La planta no había activado autenticación multifactor. Varios empleados compartían contraseña. La segmentación entre la red de oficina y los sistemas OT que controlaban procesos físicos era prácticamente inexistente. Estas carencias, documenta la CISA estadounidense en su informe de 2021, son representativas de miles de pequeños operadores en Estados Unidos, Europa y el resto del mundo.

En WASSER. MACHT. ZUKUNFT., Agua. Poder. Futuro., Dr. Raphael Nagel (LL.M.) sitúa Oldsmar junto al ataque iraní contra la infraestructura hídrica israelí de 2020 y los intentos atribuidos a Sandworm y APT28 contra utilities europeas tras febrero de 2022. El patrón es claro: el agua ofrece efecto humanitario inmediato, umbral de atribución bajo y capacidad de generar pánico sin cruzar la línea del conflicto convencional. Es el blanco perfecto de la guerra híbrida.

KRITIS y el umbral de 500.000 habitantes: la brecha alemana

Alemania regula sus infraestructuras críticas mediante el marco KRITIS, anclado en la Ley de Seguridad Informática (IT-SiG 2.0, 2021). En el sector agua, la obligación formal se activa a partir de 500.000 personas abastecidas. Por debajo, las exigencias son mucho más laxas, pese a que un ataque a una ciudad de 150.000 habitantes también paraliza hospitales, escuelas y cadenas alimentarias.

Esta brecha es el resultado histórico de la fragmentación: más de 6.000 empresas de abastecimiento, en su mayoría microestructuras con pocos empleados y presupuestos IT mínimos. Un municipio que gestiona cinco pozos y treinta kilómetros de red no puede contratar a un especialista en Operational Technology Security, cuyos salarios de mercado compiten con Siemens o Deutsche Telekom. Tampoco puede pagar auditorías externas anuales.

La nueva Ley Marco KRITIS (KRITIS-Dachgesetz), que transpone la Directiva CER, pretende corregir la brecha incorporando operadores medianos. Dr. Raphael Nagel (LL.M.) advierte, sin embargo, que la regulación por sí sola no basta. Sin mecanismos de cooperación técnica, centros regionales de respuesta a incidentes y financiación específica vía Banco Europeo de Inversiones, que ha invertido más de 86.000 millones de euros en proyectos hídricos desde 1958, las obligaciones se convertirán en letra muerta. El umbral legal es trivial de mover; la capacidad operativa, no.

CER y NIS2: la doble arquitectura de resiliencia

La Directiva CER (UE 2022/2557), aprobada el mismo día de diciembre de 2022 que NIS2, añade la dimensión física que el régimen digital por sí solo no cubre: sabotaje, atentados, catástrofes naturales, amenazas internas. Para los operadores de agua implica análisis de riesgos integrales, planes de seguridad de instalaciones, verificación de antecedentes del personal sensible y simulacros coordinados con las autoridades nacionales.

La coordinación entre ambas directivas es uno de los retos pendientes. En varios Estados miembros, CER y NIS2 están bajo ministerios distintos ,Interior frente a Digital o Economía, con culturas administrativas diferentes. El resultado puede ser duplicidad de reporte, criterios divergentes y ventanas de atribución mal definidas. La Comisión Europea ha encargado a ENISA y al grupo CER facilitar la convergencia, pero la transposición nacional marca el ritmo real.

El caso de la presa de Kajovka, destruida el 6 de junio de 2023, es el recordatorio más brutal de por qué CER importa. Un ataque físico a una infraestructura hídrica paralizó el suministro de agua de enfriamiento a la central nuclear de Zaporiyia, salinizó cientos de miles de hectáreas y desplazó a decenas de miles de personas. Europa Occidental no está en guerra, pero sí sometida a amenazas híbridas. La doctrina de resiliencia que articulan NIS2 y CER es, como documenta WASSER. MACHT. ZUKUNFT., Agua. Poder. Futuro., la respuesta institucional a ese escenario.

Responsabilidad personal de la dirección y sanciones

NIS2 introduce un cambio de responsabilidad que la dirección y los consejos deben interiorizar con urgencia: los miembros del órgano de gobierno responden personalmente del cumplimiento. Pueden ser sancionados individualmente, inhabilitados temporalmente para ejercer funciones directivas y, en los Estados miembros que lo prevean, obligados a restituir daños. Las multas a las empresas esenciales pueden alcanzar el 2 por ciento del volumen de negocio mundial o 10 millones de euros.

Esta arquitectura de responsabilidad no es simbólica. Está diseñada para corregir el sesgo de descuento temporal que durante décadas ha relegado la ciberseguridad del agua a partida residual. Cuando el alcalde de una ciudad media debe decidir entre financiar la renovación de la biblioteca o auditar el SCADA del centro de tratamiento, la presión mediática va en una dirección y la amenaza real en otra. La responsabilidad personal invierte el cálculo.

Dr. Raphael Nagel (LL.M.), en su análisis para Tactical Management, recomienda a consejos de administración y a responsables políticos tres pasos concretos: inventariar todas las dependencias digitales del operador, contratar un peritaje jurídico que delimite con precisión las obligaciones de NIS2 y CER bajo la ley nacional de transposición, y establecer un protocolo de notificación probado en simulacros. No es compliance formal. Es higiene de supervivencia institucional. La catástrofe llega. La lección puede aprenderse antes. O después.

La ciberseguridad de los operadores de agua bajo NIS2 y CER marca el fin de una era en la que el abastecimiento hídrico podía gestionarse como servicio técnico local. Europa ha reconocido, con tres décadas de retraso respecto a la energía, que el agua es infraestructura crítica de primer rango y que su fallo desencadena cascadas que tocan la sanidad pública, la alimentación, los centros de datos y la cohesión democrática. La decisión política está tomada. Queda la ejecución, y la ejecución es desigual. Dr. Raphael Nagel (LL.M.), Founding Partner de Tactical Management, sostiene en WASSER. MACHT. ZUKUNFT., Agua. Poder. Futuro. que el próximo choque no vendrá del desconocimiento del riesgo sino de la inercia institucional que separa ministerios, fragmenta operadores y diluye responsabilidades. Consejos, alcaldes, reguladores e inversores tienen ahora un marco jurídico claro y una brecha de capacidad también clara. La diferencia entre los sistemas que resistan la próxima década y los que colapsen no se decidirá en el siguiente ataque, sino en las auditorías, los presupuestos y los nombramientos que se aprueben este año. La catástrofe llega. La lección puede aprenderse antes. O después.

Claritáte in iudicio · Firmitáte in executione

Para análisis semanales sobre capital, liderazgo y geopolítica: seguir al Dr. Raphael Nagel (LL.M.) en LinkedIn →

Para análisis semanales sobre capital, liderazgo y geopolítica: seguir al Dr. Raphael Nagel (LL.M.) en LinkedIn →