La normativa NIS2 europea deja claro cuales son las obligaciones de las empresas frente a los ciberataques y establece que es responsabilidad de los directivos las consecuencias de los ciberataques. Y es que, son muchas las empresas que cuentan en plantilla o subcontratan los servicios de personal especializado en ciberseguridad, para prevenir o minimizar los daños sufridos ante un ciberataque, pero no son todas, ni se le presta aún a día de hoy a la ciberseguridad, la importancia que debe tener para la empresa.
Después de producirse cada brecha de seguridad, sea en la empresa privada u organismos públicos, la noticia aparece en los medios de comunicación, contando como otra gran empresa es víctima de un ciberataque y se produce un robo de la información personal de sus clientes. Poco después, llega un correo electrónico a los clientes, mediante el cual la compañía cumpliendo con su obligación legal de informar a los afectados, aprovecha para pedir disculpas y reafirma su compromiso con la seguridad de sus datos. Pero, ¿qué pasa después? Nada.
Respecto a los afectados por las brechas de seguridad, la responsabilidad de la empresa no va más allá. Ni siquiera en brechas tan graves como la de Air Europa, que obligó a miles de clientes de varios países a anular de inmediato sus tarjetas de crédito. A los afectados, sólo les queda esperar los más que probables intentos de estafa basados en la información personal recopilada, teniendo que confiar en recordar que esa persona que les llama podría no ser su agente bancario, sino un ciberdelincuente que ya conoce todos sus datos.
Nada más que decir, al menos hasta ahora. Dos nuevas normas europeas han entrado en vigor para adecuar la preparación y respuesta ante ciberataques y uno de sus puntos clave es que directamente, la alta dirección de las empresas debe asumir las responsabilidades por las brechas de seguridad sufridas. Por tanto, sus altos ejecutivos ya no podrán escurrir el bulto respecto a las medidas de ciberseguridad, derivándolas hacia los técnicos en la materia de la compañía.
Según declaraciones de Marta Trabado, especialista en Cumplimiento Normativo de la mercantil española de ciberseguridad A3Sec al periódico elDiario.es: «el problema radica en que aunque sobre el papel sí existía una responsabilidad, en la práctica nunca se mostraba con claridad. A partir de ahora, se trata de que la responsabilidad recaiga sobre la dirección de la empresa en caso de producirse un ciberataque, puesto que es la que debe establecer las estrategias de prevención y supervisarlas. Por ello, pueden llegar a tener responsabilidad penal sobre las consecuencias del incidente».
Aunque la concepción de la ciberseguridad de la máxima importancia en la estrategia de la compañía, ha sido incluida en varias nuevas regulaciones europeas, la que refleja realmente la posibilidad de que la alta dirección es la responsable directa, es la directiva NIS2. Esta directiva crea dos categorías de empresas, las “esenciales” y las “importantes”, estableciendo diferentes grados de supervisión por parte de los reguladores.
Por un lado, las empresas consideradas como “esenciales” son las que ofrecen servicios o infraestructuras vitales para el buen funcionamiento de la sociedad y la economía, como es el caso de las energéticas, empresas de transporte (aerolíneas, trenes, logística, etc.), salud (incluyendo a las farmacéuticas), suministros de agua, banca y telecomunicaciones (tanto las que prestan servicios digitales como las telecos), entran en esta categoría y las autoridades podrán supervisar las medidas de seguridad que adoptan, tanto antes de que se produzca un ciberataque como después de haberse producido.
La directiva actual, publicada en el Diario Oficial de la Unión Europea del 14 de diciembre de 2022, hace especial hincapié en que “cualquier persona física responsable de una entidad esencial o que actúe como representante de ella” deberá “considerarse responsable” del cumplimiento de estas normas.
Por otro lado, las empresas consideradas como “importantes” son las fábricas (de productos químicos, equipos médicos o electrónicos, de alimentación y grandes distribuidores), los servicios postales y de mensajería y las que investigan nuevas tecnologías. Sus obligaciones de ciberseguridad son similares, pero con menos énfasis en la supervisión constante y las autoridades podrán pedirles cuentas tras sufrir una brecha de seguridad.
Dicha capa de supervisión, se añadirá a la que ya corresponde a la Agencia Española de Protección de Datos (AEPD), la cual puede imponer multas si detecta que las empresas no han implementado las salvaguardas adecuadas frente a los riesgos de un ciberataque. Aunque parezca extraño, España aún no ha definido cómo llevará a cabo esta nueva vigilancia más centrada en el resto de factores de la seguridad informática.
Una vez más, España va con retraso
La fecha límite para adoptar en el ordenamiento jurídico español las medidas previstas en la NIS2, era el pasado 17 de octubre. El Ministerio del Interior, responsable de presentar la propuesta de ley al Consejo de Ministros que inicie el trámite parlamentario, asegura que el texto va a llegar a la Comisión de secretarios de Estado “este mes de diciembre”. Su remisión al Consejo de Ministros, debería producirse con posterioridad y a la mayor brevedad posible.
La posibilidad de incurrir en una responsabilidad penal ante una negligencia de ciberseguridad, deberá incluirse en la trasposición española para ser efectiva. Además, deberá indicar qué organismos deberán supervisar a las empresas de categoría “esencial” o “importante”.
Pero, España no es el único país en esta situación. De hecho, 23 de los 27 países miembros de la UE aún no ha traspuesto la directiva NIS2. Para impedir que se retrasen los tiempos de aplicación de la directiva, Bruselas ya ha publicado un reglamento de ejecución que hace que ya sea “de obligado cumplimiento” pese a no haber sido traspuesta a los correspondientes órganos de gobierno.
Para quienes puedan estar interesados en conocer la Directiva NIS2, pueden descargarla pinchando en el enlace del párrafo anterior.
Visitando la web de Channel Partner, podemos hacernos una idea de la variedad de ciberataques y empresas u organismos objetivo de los mismos, que se han producido en España en 2024.
Conclusión
La llegada de la NIS2 marca un punto de inflexión en la forma en que las empresas deben abordar la ciberseguridad. Ya no bastará con enviar un correo de disculpas tras un ciberataque y seguir adelante. La alta dirección, tendrá que asumir una responsabilidad activa y directa, tanto en la prevención como en la respuesta a estos incidentes.
La dirección de la empresa juega un papel crucial en la gestión y prevención de brechas de seguridad. Su responsabilidad no sólo se limita a la implementación de medidas técnicas, sino que también abarca la creación de una cultura organizativa que priorice la seguridad y protección de datos.
La proactividad en la formación de empleados, inversión en tecnologías avanzadas y adopción de políticas claras y efectivas son esenciales para mitigar los riesgos. Al asumir un liderazgo comprometido y consciente, la dirección puede no sólo proteger los activos de la empresa, sino también fortalecer la confianza de clientes y socios, asegurando así la sostenibilidad y el éxito a largo plazo de la organización.
STI 2020 ® 
Deja un comentario