UNA GESTIÓN DE RIESGOS MÁS ESTRICTA

Garantizar la privacidad y la seguridad de los datos, desarrollar planes de respuesta ante incidentes, mejorar la seguridad de los productos durante su ciclo de vida o establecer la base para las medidas de gestión de riesgos son solo algunos de los objetivos de la principal regulación europea en materia de ciberseguridad que deben tener en cuenta muchas empresas. El avance tecnológico ha requerido de una adaptación de la normativa, que, en general, va exigiendo a las compañías una gestión de riesgos más estricta.

El Reglamento general de Protección de Datos (RGPD), la Digital Operational Resilience Act (DORA), la Ley de Resiliencia Cibernética o la NIS2 son algunos de los textos normativos más destacados en este ámbito. El último de los citados, la directiva NIS2, entró en vigor en 2023 e incide en su predecesora para crear un alto nivel común de ciberseguridad en toda la UE, imponiendo obligaciones a los Estados miembros y a las entidades públicas y privadas de sectores críticos.

LA NUEVA NIS AMPLÍA EL ÁMBITO DE APLICACIÓN A MÁS SECTORES

En líneas generales, amplía el ámbito de aplicación a una mayor parte de la economía añadiendo a proveedores de comunicaciones electrónicas públicas, más servicios digitales (como plataformas sociales), gestión de residuos y aguas residuales, fabricación de productos críticos, servicios postales y de mensajería y administración pública, tanto a nivel central como regional, así como al sector espacial. Su antecesora, la NIS1, únicamente contemplaba sectores como la energía, el transporte, la asistencia sanitaria, las finanzas, la gestión del agua y la infraestructura digital.

Otros puntos de la Directiva NIS2

Además, la NIS2 refuerza los requisitos de seguridad que han de cumplir las entidades afectadas, precisa el proceso de notificación de incidentes, aborda la seguridad en la cadena de suministro y las relaciones con proveedores, refuerza el intercambio de información sobre incidentes y la divulgación de vulnerabilidades y establece una red europea de soporte de crisis. Su implementación obliga a las empresas a adoptar “estrategias integrales” para asegurar el cumplimiento de la normativa, según subrayó en las páginas de Empresa XXI la directora general del centro de Ciberseguridad Industrial de Gipuzkoa (ZIUR), María Penilla. La propia Penilla recordó a las pequeñas y medianas empresas que “el cumplimiento de esta normativa no es baladí, puesto que puede conllevar sanciones millonarias” que podrían “alcanzar los 10 millones de euros o el 2% del volumen de negocio anual total para las entidades esenciales; y hasta 7 millones de euros y el 1,4% del volumen de negocio de las importantes”. También, indicó que “pueden incluir medidas como la suspensión temporal de la prestación de servicios, prohibiciones temporales y la imposición de medidas correctivas para abordar las deficiencias en la seguridad”.

DORA BLINDA LA SEGURIDAD EN LAS FINANZAS

Otro reglamento a tener en cuenta en el ámbito de la ciberseguridad, también vigente desde 2023, es el DORA por sus siglas en inglés (Digital Operational Resilience Act), que pretende reforzar la seguridad informática de las entidades financieras introduciendo una serie de cambios en sus prácticas de seguridad de datos, como contar con un plan de respuesta a posibles incidentes, mantener un programa de ciberseguridad que incluya una evaluación de los riesgos, notificar los incidentes cuando se produzcan para que los reguladores puedan evaluar sus vulnerabilidades y hacer recomendaciones o contar con un plan que garantice la continuidad del servicio durante las interrupciones que puedan producirse.

La Ley de Resiliencia Cibernética (Cyber Resilience Act) es, asimismo, un texto importante. Su objetivo es mejorar los estándares de ciberseguridad de los productos que contienen un componente digital, para lo cual requiere a los fabricantes y minoristas que garanticen la ciberseguridad en todo el ciclo de vida de sus productos. Se aplica a todos los productos conectados directa o indirectamente a otro dispositivo o red, salvo exclusiones específicas, como ciertos productos de software o servicios de código abierto.

Protección de datos

Por último, pero no menos importante, otra normativa destacada es el Reglamento General de Protección de Datos (RGPD), que como su nombre indica se centra en la protección de la información. La RGPD requiere que las organizaciones notifiquen las violaciones de datos antes de 72 horas de haber sabido de las mismas. Además, esas comunicaciones deben acompañarse de detalles sobre la naturaleza de la violación, cantidad de datos afectados, posibles consecuencias y medidas adoptadas para hacer frente a la brecha.

‍