La nueva normativa europea NIS2 refuerza las obligaciones de las empresas frente a los ciberataques y responsabiliza a los directivos de las consecuencias de los ciberataques.
Este ha sido el abecé de cada brecha de seguridad en la última década:
- Aparece la noticia en los medios de comunicación: otra gran empresa cae víctima de un ciberataque;
- se ha producido un robo de información personal de sus clientes;
- en unas horas llega un correo electrónico: es la compañía cumpliendo su “obligación legal de informar” a los afectados;
- la empresa aprovecha para pedir disculpas y reafirmar su “compromiso” con la seguridad de sus datos;
- ¿Y qué pasa después? NADA, todo sigue igualy vuelta a empezar.
En lo que respecta a los afectados por la brecha, la responsabilidad de la empresa no iba más allá. Ni siquiera en agujeros graves, que obliga miles de clientes de varios países a anular de inmediato sus tarjetas de crédito o ver comprometidos sus datos personales de salud para siempre en Internet.
A los afectados solo les quedaba esperar a los más que probables intentos de estafa basados en su información personal, confiando en recordar que esa persona que llama podría no ser su agente bancario o su clínica sino un ciberdelincuente que conoce todos sus datos.
No había más que decir, al menos hasta ahora. Dos nuevas normas europeas han entrado en juego para modernizar la preparación y respuesta ante ciberataques y uno de sus puntos clave es que apuntan directamente a la alta dirección de las empresas a la hora de asumir responsabilidades por las brechas de seguridad. En otras palabras, prohíbe a sus altos ejecutivos escurrir el bulto de la ciberseguridad hacia los cargos técnicos de la compañía.
“El problema es que, aunque sobre el papel sí que existía una responsabilidad, en la práctica nunca aparecía de forma clara”, explica Marta Trabado, especialista en cumplimiento normativo de la firma española de ciberseguridad A3Sec. “Ahora de lo que se trata es que la responsabilidad recaiga directamente en la dirección en caso de un ciberataque, porque es la que debe establecer las estrategias de prevención y supervisarlas. Por tanto, pueden tener responsabilidad incluso penal sobre las consecuencias de ese incidente”, asevera.
Ahora, la alta dirección puede tener responsabilidad penal sobre las consecuencias de un incidente de ciberseguridad. Aunque la importancia de la ciberseguridad ha sido incluida en varias nuevas regulaciones europeas, la Directiva NIS2 (análisis) refleja la posibilidad de que la alta dirección es la responsable final. Esta crea dos categorías de empresas, las “esenciales” y las “importantes”, con diferentes grados de supervisión por parte de los reguladores.
Las empresas etiquetadas como “esenciales” son aquellas que ofrecen servicios o infraestructuras cruciales para el buen funcionamiento de la sociedad y la economía. Las energéticas, las de transporte (aerolíneas, trenes, logística, etc.), salud (también farmacéuticas), agua, banca y telecomunicaciones (tanto de servicios digitales como telecos) entran en esta categoría y las autoridades podrán supervisar sus medidas de seguridad tanto antes de que se produzca un ciberataque como después de haberlo sufrido.
La directiva hace especial hincapié en que “cualquier persona física responsable de una entidad esencial o que actúe como representante de ella deberán considerarse responsables del cumplimiento de estas normas”.
Las “importantes” son las fábricas, como las de productos químicos, equipos médicos o electrónicos, las de alimentación y grandes distribuidores, los servicios postales y de mensajería y las que investigan nuevas tecnologías. Sus obligaciones de ciberseguridad son similares, pero con menos énfasis en supervisión constante, y las autoridades podrán pedirles cuentas tras sufrir una brecha.
Esta capa de supervisión se añadirá a la que ya corresponde a la Agencia Española de Protección de Datos y el RGPD, los cuales pueden imponer multas si detecta que las empresas no han implementado salvaguardas adecuadas frente a los riesgos de un ciberataque. El problema, en este caso, es que España aún no ha definido cómo llevará a cabo esta nueva vigilancia más centrada en el resto de factores de la seguridad informática.
En resumen, la llegada de la NIS2 marca un punto de inflexión en la forma en que las empresas deben abordar la ciberseguridad. Ya no bastará con enviar un correo de disculpas tras un ciberataque y seguir adelante; la alta dirección tendrá que asumir una responsabilidad activa y directa, tanto en la prevención como en la respuesta a estos incidentes.
No hay comentarios:
Publicar un comentario