Certificados TLS de servidor
Tráfico web seguro a gran escala
Inventario de certificados
Descubrir y rastrear todos los certificados
Certificados DevOps
Automatizar para pipelines CI/CD
Cifrado de correo electrónico
S/MIME para correo electrónico empresarial
La directiva de la UE que establece un marco de resiliencia integral para entidades críticas en 11 sectores, complementando NIS2 con requisitos de seguridad física y cibernética, incluido el control de acceso basado en certificados.
La Directiva CER (2022/2557) reemplaza la Directiva Europea de Infraestructura Crítica y establece obligaciones integrales para las entidades críticas con el fin de mejorar su resiliencia frente a una amplia gama de amenazas, incluidos los ciberataques, desastres naturales, terrorismo y pandemias.
La directiva cubre 11 sectores críticos: energía, transporte, banca, infraestructuras de mercados financieros, salud, agua potable, aguas residuales, infraestructura digital, administración pública, espacio, producción de alimentos, procesamiento y distribución, y fabricación de productos críticos. Las organizaciones identificadas como entidades críticas dentro de estos sectores deben implementar medidas de resiliencia robustas.
El control de acceso basado en certificados y las comunicaciones cifradas son medidas de seguridad clave para el convergencia físico-cibernética que exige la Directiva CER. A medida que la tecnología operativa (OT) y la tecnología de la información (IT) se vuelven cada vez más interconectadas en infraestructuras críticas, PKI sirve como la base de confianza para asegurar tanto el acceso físico como el digital.
Los Estados miembros deben identificar entidades críticas en los 11 sectores utilizando criterios basados en riesgos, incluyendo el mapeo de dependencias y la evaluación de impacto transfronterizo.
Las entidades críticas deben realizar evaluaciones de riesgos exhaustivas que cubran todas las amenazas naturales, artificiales y cibernéticas relevantes para sus servicios esenciales.
Las entidades deben implementar medidas técnicas, de seguridad y organizativas para prevenir, protegerse contra, responder, resistir, mitigar, absorber y recuperarse de incidentes.
Las entidades críticas deben implementar control de acceso basado en certificados y autenticación fuerte para los sistemas físicos y digitales que protegen los servicios esenciales.
Las entidades críticas deben notificar a las autoridades competentes sobre incidentes significativos dentro de las 24 horas, con informes de seguimiento detallados sobre el impacto y las medidas de remediación.
Las entidades críticas deben realizar verificaciones de antecedentes del personal con acceso a áreas sensibles, respaldadas por sistemas de verificación de identidad basados en certificados.
La Comisión Europea propone una nueva directiva para fortalecer la resiliencia de las entidades críticas, sustituyendo la Directiva Europea de Infraestructura Crítica de 2008.
La Directiva CER (2022/2557) es adoptada formalmente por el Parlamento Europeo y el Consejo, estableciendo un marco integral de resiliencia.
Los Estados miembros de la UE deben transponer la directiva a la legislación nacional y establecer autoridades competentes para la resiliencia de entidades críticas.
Los Estados miembros deben haber identificado todas las entidades críticas en los 11 sectores designados utilizando criterios establecidos.
Todas las entidades críticas deben haber implementado medidas de resiliencia integrales, incluidos los requisitos de seguridad física y cibernética.
La Directiva CER sitúa PKI en el corazón de la protección de infraestructuras críticas, uniendo los requisitos de seguridad física y digital. Aquí están las áreas críticas:
Los sitios críticos requieren autenticación basada en certificados para los sistemas de control de acceso físico, garantizando que solo el personal autorizado pueda entrar en áreas sensibles.
A medida que convergen las redes operativas y de tecnología de la información, los certificados TLS mutuos son esenciales para asegurar las comunicaciones entre los sistemas de control industrial y las redes corporativas.
Los dispositivos de monitoreo de infraestructura crítica requieren certificados de dispositivo únicos para una identificación segura, integridad de datos y telemetría cifrada en entornos distribuidos.
Las comunicaciones entre entidades para la notificación y coordinación de incidentes requieren cifrado basado en certificados, garantizando la confidencialidad y autenticidad de los datos operativos sensibles.
Inventario de certificados en entornos IT y OT — Descubrir y rastrear todos los certificados en ambas redes de tecnología de la información y tecnología operativa, proporcionando visibilidad completa para auditorías de resiliencia CER.
Gestión automatizada del ciclo de vida de los certificados de control de acceso — Automatizar la emisión, renovación y revocación de certificados utilizados en sistemas de control de acceso físicos y digitales, eliminando la carga manual y reduciendo el riesgo de credenciales expiradas.
Aplicación de políticas para estándares de infraestructura crítica — Aplicar políticas de certificados alineadas con los requisitos de protección de infraestructura crítica, incluidos los estándares de algoritmos, longitudes de clave y restricciones de validez.
Integración con sistemas de control de acceso físico — Integrar sin problemas la gestión de certificados con PACS, permitiendo la autenticación de credenciales basada en certificados y la provisión automatizada de credenciales para el acceso a sitios críticos.
