Ante un aumento del número y la sofisticación de los ciberataques, la Unión Europea ha ampliado el marco regulatorio para proporcionar una respuesta más firme en materia de ciberseguridad. NIS, DORA o la Ley de Ciberresiliencia pretenden ayudar a las organizaciones a adoptar medidas de seguridad más adecuadas, mientras mejoran la protección de las infraestructuras críticas y los datos sensibles.
Sin embargo, tal diversidad de reglamentos está provocando que muchas empresas se sientan perdidas e indefensas, a lo que se suma una grave falta de información y una realidad en la que la innovación tecnológica va muy por delante de la aplicación de las diferentes leyes. Así ha ocurrido al menos con IoT y, más recientemente, con la Inteligencia Artificial.
Conociendo las normas
Conocer las normas es crucial para su acatamiento. Como más novedosa, la Directiva NIS2, de aplicación entre los Estados miembros de la UE desde el pasado 18 de octubre de 2024, representa un reto para muchas empresas que aún desconocen sus principales novedades frente a NIS1. Manteniendo los mismos principios para asegurar la resiliencia de las infraestructuras críticas que su antecesora, NIS2 busca reforzar el ecosistema de seguridad asegurando cada eslabón de la cadena de suministro. Para conseguirlo, abarca una gama más amplia de sectores -18 en total- y todo tipo de empresas, incluidas algunas pymes o micropymes. Asimismo, introduce la responsabilidad de los ejecutivos, con posibles sanciones en caso de infracción, para que se comprometan de forma más seria y proactiva en la gestión de los ciberriesgos.
Una cuestión crucial que fija también NIS2 es la capacidad de vigilancia por parte del organismo nacional de control, en España el Centro Criptológico Nacional. Sin embargo, si no se produce un aumento significativo del personal asesor, los controles podrían limitarse a comprobaciones aleatorias, reduciendo la eficacia de la Directiva.
Otro punto clave a observar por parte de las empresas, es el ámbito de aplicación que tienen las distintas leyes. NIS2 y DORA presentan similitudes en cuanto al análisis de riesgos, requisitos de información o control de la cadena de suministro, pero no ocurre lo mismo con su aplicación. Mientras NIS2 abarca diversos sectores, DORA se dirige específicamente al financiero. Esta distinción plantea interrogantes sobre la naturaleza específica y complementaria de DORA en comparación con NIS2, y subraya la necesidad de adaptar las medidas de ciberseguridad a las características específicas de cada sector.
Repercusiones de la complejidad legislativa
Además de la complejidad que supone conocer las nuevas obligaciones o el ámbito de aplicación inherente a las distintas normativas, la proliferación de leyes y reglamentos sobre ciberseguridad también supone un reto financiero para las empresas.
Cada nueva directiva sobre ciberseguridad conlleva costes adicionales: auditoría para evaluar los sistemas y el nuevo enfoque en seguridad, despliegue de nuevas soluciones o formación de los empleados en las mismas. Estas inversiones pueden obligar a las empresas a subir los precios de sus bienes y servicios e incluso a perder competitividad, frente a organizaciones de otras regiones con normativas menos estrictas.
Otro problema añadido tiene que ver con la falta de mano de obra especializada en ciberseguridad. La escasez de profesionales cualificados en ciberseguridad ya se deja sentir, y esta creciente demanda agrava la situación, creando mayor presión en el sector. Las organizaciones tienen cada vez más difícil encontrar los recursos humanos necesarios para cumplir con las nuevas normativas.
Por último, también hay que tener en cuenta los costes potenciales relacionados con las sanciones por incumplimiento, como multas, daños a la reputación que pueden repercutir en la imagen y pérdidas de clientes en caso de que los datos se vean comprometidos.
Soluciones sencillas
Independientemente de la norma o reglamento en vigor, es esencial tener en cuenta que el sistema de información es un pilar fundamental de la actividad de una empresa y, por tanto, merece una protección adecuada.
En lugar de entrar en detalles sobre las medidas necesarias, es mejor centrarse en estos puntos clave:
- Incorporar el tema de la ciberseguridad al Comité Ejecutivo: la ciberseguridad debe tratarse con la misma importancia que los riesgos físicos o humanos;
- Gestionar la seguridad en función de los niveles de riesgo: este enfoque permite asignar los recursos de forma inteligente, alineándolos con las necesidades específicas de la empresa;
- Adoptar las mejores prácticas básicas: realizar copias de seguridad periódicas, probadas y verificadas; utilizar soluciones de seguridad básicas como cortafuegos, antivirus y autenticación multifactorial; y mantener los sistemas actualizados;
- Rodearse de socios de confianza: elegir socios fiables para asegurarse de recibir la asistencia adecuada.
En definitiva, la transición de NIS1 a NIS2 y la presencia de varias normativas nuevas implica una mayor cobertura y una mayor responsabilidad legal para los ejecutivos, sin representar en realidad un gran avance. Sin embargo, estos cambios en las leyes y reglamentos a lo largo del tiempo plantean retos relacionados con los costes, la complejidad legislativa y la escasez de mano de obra cualificada para cumplirlos. Por tanto, las empresas deberán aplicar estrategias eficaces y soluciones prácticas para cumplir los nuevos requisitos, manteniendo al mismo tiempo su competitividad en el mercado internacional, con el objetivo de garantizar la sostenibilidad de su negocio.