Europa impone más obligaciones de ciberseguridad a las empresas
La futura Directiva europea de ciberseguridad (NIS2) incluirá aspectos relacionados con la respuesta a incidentes de seguridad, el refuerzo de la seguridad de la cadena de suministro, el cifrado de la información, o la divulgación de vulnerabilidades. Asimismo, se prevé que la ciberseguridad se reconozca expresamente como una responsabilidad empresarial al más alto nivel gerencial, lo que puede suponer una revisión de la responsabilidad legal de los administradores y directivos de estas compañías.
Esta nueva norma, aunque en fase de borrador, hace recomendable para las empresas afectadas, que comiencen a planificar su impacto en la manera de gestionar la ciberseguridad, y a identificar qué nuevas medidas deben adoptarse próximamente. No solamente porque nos obligue una ley o porque el regulador nos pueda sancionar, concluye Pérez Bes, sino porque está en juego la continuidad del propio negocio.
Desde su aprobación en el año 2017, una de las principales críticas a la actual Directiva sobre la seguridad de las redes y sistemas de información (comúnmente conocida como NIS), ha sido la de que los Estados miembros la han incorporado a sus ordenamientos internos de una manera poco homogénea, lo que ha provocado una fragmentación del mercado único y, a juicio del Parlamento Europeo, ha situado a los países europeos en unos niveles de ciberseguridad insuficientes. La situación actual, dominada por ciberataques cada vez más numerosos y complejos, hace necesario actualizar la normativa actual, al objeto de conseguir que Europa sea un lugar seguro para trabajar y para hacer negocios.
Así lo demuestran los datos aportados al informe de la nueva Directiva NIS2, que reflejan que el ciberdelito se duplicó en 2019 y el ransomware se triplicó en 2020 y que, sin embargo, las empresas e instituciones europeas siguen invirtiendo en ciberseguridad un 41% menos que Estados Unidos.
El pronóstico más reciente también muestra datos preocupantes: los daños causados por el ransomware podrían alcanzar los 17 mil millones de euros al acabar el año 2021, lo que multiplica por 57 los costes correspondientes a 2015. Y se prevé que, en 2021, las empresas sufran un ataque de ransomware cada 11 segundos, frente a los 40 segundos de 2016.
Un mayor número de empresas deberán adoptar nuevas medidas y cumplir obligaciones
El texto de la nueva Directiva, aún en fase de proyecto de ley, prevé nuevas y más estrictas obligaciones para las empresas en materia de ciberseguridad, especialmente en términos de supervisión, de gestión de riesgos, de elaboración de reportes y de intercambio de información, además de armonizar los regímenes de sanciones entre los diferentes Estados miembros.
En comparación con la legislación actual, que en España está desarrollada a través del Real Decreto 12/2018, desarrollado por el real Decreto-Ley 43/2021, el alcance de la nueva Directiva incluirá a un mayor número de empresas, las cuales deberán adoptar nuevas medidas y cumplir obligaciones adicionales en materia de seguridad de la información, explica Francisco Pérez Bes, socio de Derecho digital en Ecix Group y antiguo secretario general del Instituto Nacional de Ciberseguridad de España (Incibe). "Entre estos nuevos sectores afectados, encontramos empresas de servicios postales, de gestión de residuos, productos químicos, alimentación, fabricación de dispositivos médicos, electrónica, maquinaria o vehículos a motor", añade.
Autor: Ignacio Faes