Ha sido el abecé de cada brecha de seguridad en la última década. Salta la noticia en los medios de comunicación: otra gran empresa cae víctima de un ciberataque y se ha producido un robo de información personal de sus clientes. En unas horas llega un correo electrónico. Es la compañía cumpliendo su obligación legal de informar a los afectados, que aprovecha para pedir disculpas y reafirmar su “compromiso” con la seguridad de sus datos. ¿Y qué pasa después? Después no pasa nada.
En lo que respecta a los afectados por la brecha, la responsabilidad de la empresa no iba más allá. Ni siquiera en agujeros tan graves como el de Air Europa, que obligó a miles de clientes de varios países a anular de inmediato sus tarjetas de crédito. A los afectados solo les quedaba esperar a los más que probables intentos de estafa basados en su información personal, confiando en recordar que esa persona que llama podría no ser su agente bancario sino un ciberdelincuente que conoce todos sus datos.
No había más que decir, al menos hasta ahora. Dos nuevas normas europeas han entrado en juego para modernizar la preparación y respuesta ante ciberataques y uno de sus puntos clave es que apuntan directamente a la alta dirección de las empresas a la hora de asumir responsabilidades por las brechas de seguridad. En otras palabras, prohíbe a sus altos ejecutivos escurrir el bulto de la ciberseguridad hacia los cargos técnicos de la compañía.
“El problema es que, aunque sobre el papel sí que existía una responsabilidad, en la práctica nunca aparecía de forma clara”, explica Marta Trabado, especialista en cumplimiento normativo de la firma española de ciberseguridad A3Sec. “Ahora de lo que se trata es que la responsabilidad recaiga directamente en la dirección en caso de un ciberataque, porque es la que debe establecer las estrategias de prevención y supervisarlas. Por tanto, pueden tener responsabilidad incluso penal sobre las consecuencias de ese incidente”, asevera.
La alta dirección puede tener responsabilidad penal sobre las consecuencias de un incidente de ciberseguridad
Aunque esta concepción de la ciberseguridad de la máxima importancia en la estrategia de la compañía ha sido incluida en varias nuevas regulaciones europeas, la que refleja la posibilidad de que la alta dirección es la directiva NIS2. Esta crea dos categorías de empresas, las “esenciales” y las “importantes”, con diferentes grados de supervisión por parte de los reguladores.
Las empresas etiquetadas como “esenciales” son aquellas que ofrecen servicios o infraestructuras cruciales para el buen funcionamiento de la sociedad y la economía. Las energéticas, las de transporte (aerolíneas, trenes, logística, etc.), salud (también farmacéuticas), agua, banca y telecomunicaciones (tanto de servicios digitales como telecos) entran en esta categoría y las autoridades podrán supervisar sus medidas de seguridad tanto antes de que se produzca un ciberataque como después de haberlo sufrido.
La directiva hace especial hincapié en que “cualquier persona física responsable de una entidad esencial o que actúe como representante de ella” deberán “considerarse responsables” del cumplimiento de estas normas.
Las “importantes” son las fábricas, como las de productos químicos, equipos médicos o electrónicos, las de alimentación y grandes distribuidores, los servicios postales y de mensajería y las que investigan nuevas tecnologías. Sus obligaciones de ciberseguridad son similares, pero con menos énfasis en supervisión constante, y las autoridades podrán pedirles cuentas tras sufrir una brecha.
Esta capa de supervisión se añadirá a la que ya corresponde a la Agencia Española de Protección de Datos, la cual puede imponer multas si detecta que las empresas no han implementado salvaguardas adecuadas frente a los riesgos de un ciberataque. El problema, en este caso, es que España aún no ha definido cómo llevará a cabo esta nueva vigilancia más centrada en el resto de factores de la seguridad informática.
España va tarde en la trasposición
La fecha límite para trasponer al ordenamiento jurídico español las medidas previstas en la NIS2 era el 17 de octubre. Desde el Ministerio del Interior, responsable de presentar la propuesta de ley al Consejo de Ministros que inicie el trámite parlamentario, aseguran a elDiario.es que el texto va a llegar a la Comisión de secretarios de Estado “este mismo mes de diciembre”. “Su posterior remisión al Consejo de Ministros no depende de nosotros, pero confiamos en que sea de inmediato”, exponen las mismas fuentes.
La posibilidad de incurrir en una responsabilidad penal ante una negligencia de ciberseguridad deberá incluirse en la trasposición española para ser efectiva. También qué organismos deberán supervisar a las empresas de categoría “esencial” o “importante”.
Sin embargo, España no es la única en esta situación. Más bien al contrario: 23 de los 27 países miembros de la UE aún no ha traspuesto NIS2. Para impedir que se retrasen los tiempos de aplicación de la directiva, Bruselas ha publicado un reglamento de ejecución que hace que ya sea “de obligado cumplimiento” pese no estar traspuesta“, afirma Marta Trabado.
“Esto hace que estés sujeto a sanciones en el caso de que seas una entidad dentro del alcance de NIS2 y no la apliques”, detalla la experta. “El incumplimiento puede tener consecuencias graves, como la pérdida de concesiones o contratos públicos”, añade.
En resumen, la llegada de la NIS2 marca un punto de inflexión en la forma en que las empresas deben abordar la ciberseguridad. Ya no bastará con enviar un correo de disculpas tras un ciberataque y seguir adelante; la alta dirección tendrá que asumir una responsabilidad activa y directa, tanto en la prevención como en la respuesta a estos incidentes.