- 1 de febrero de 2023
Las nuevas obligaciones y sanciones corporativas de la Directiva NIS-2
Será obligatoria a partir de 2024 para empresas de más de 250 empleados y con una facturación de 50 millones de euros.
En este caso, comienza un año con previsiones importantes de
ciberataques como uno de los principales riesgos para las empresas. Prueba de
ello es el quinto puesto que ocupó España en el ranking de países más
cibertacados en el último trimestre del año pasado, según el informe de la
empresa Surfshark. Por lo tanto, la ciberseguridad se convierte en una
inversión no solo reactiva, sino más bien proactiva, es decir, hay que
adelantarse al ataque. De esta manera, este tipo de riesgo se termina
convirtiendo en una gran oportunidad vertebradora de crecimiento corporativo
sostenido. La seguridad del siglo XXI se llama, por lo tanto, ciberseguridad.
Con este objetivo se aprobó el mes pasado la Directiva NIS-2. Será de
obligado cumplimiento a partir del 15 de octubre de 2024 para empresas de más
de 250 empleados y con un volumen de facturación anual de 50 millones de euros
en adelante. A su vez, también estarán obligadas a su cumplimiento “aquellas
empresas, medianas y grandes, que operen en los sectores o presten servicios
cubiertos por la directiva “.
Eso sí, incluye novedades muy imponentes en el ámbito de la
responsabilidad legal en caso de ciberataque. Será el mismo consejo de
administración el directamente responsable del daño. Por ello, sí será de
aplicación la "culpa in vigilando", a diferencia de la anterior
directiva que eximía de posible responsabilidad a la empresa por el mero hecho
de tener un plan de contingencia activado en caso de ciberataque.
Con esta nueva Directiva NIS-2, no solo será suficiente tener una
planificación previa. Se exigirá que se haga funcionar de forma eficaz dicho
plan, es decir, de una forma proactiva y no meramente reactiva. A su vez, será
cada Estado el autorizado para establecer las sanciones respectivas que deberán
ser "eficaces, proporcionadas y disuasorias".
En este sentido, entiende la directiva que deberán constituirse en
“sanciones eficaces, que sean fundamentales para garantizar el cumplimiento
efectivo de dichas obligaciones", es decir, no solo económicas, sino
incluso de ámbito práctico, como la suspensión temporal de la prestación de ese
servicio a la empresa incumplidora o la imposibilidad de que determinada
persona física ostente un determinado cargo o rango en el consejo de
administración incumplidor. Hablamos, por lo tanto, de sanciones muy
importantes y muy polivalentes.
Además, será el mismo consejo de administración el encargado de cumplir
y hacer cumplir dichas obligaciones legales. Por lo tanto, asumen un papel muy
operativo y de absoluta responsabilidad. De ahí la importancia de la
incorporación de la ISO 31022 sobre Gestión de Riesgos Legales, aportando el
valor de la seguridad operacional como un gran propiciador del nacimiento de
futuros contratos.
Por ello, si en nuestro imaginario colectivo tenemos claro aquello de
que "los malos siempre van un paso por delante", nuestro
objetivo tiene que ser acortar esa distancia hasta hacerla inexistente. Y es
ahí donde la nueva directiva golpea más fuerte, pues establece con claridad
meridiana que la responsabilidad de protección y defensa de la organización
recae directamente sobre los órganos de dirección.
Por lo tanto, directivos y cargos técnicos, entre ellos CISOs y DPOs,
deberán aunar esfuerzos para alinear los objetivos de negocio con los objetivos
de seguridad y defensa de los sistemas y la información. De hecho, mantener ese
equilibrio empieza a ser uno de los principales retos en cualquier
organización. Esto conlleva principalmente la introducción de cambios en la
gobernanza, ya que es necesario dotar de mayor capacidad de decisión a los
perfiles más técnicos. Esto supone que formen parte activa de los órganos de
dirección. A ellos también se les va a exigir una visión tan estratégica como
técnica, pues en los objetivos de seguridad y defensa tienen que estar presentes
los objetivos de negocio.
Además, en el desarrollo de un nuevo marco de gestión del riesgo
cibernético hay que poner el foco en la cadena de suministro. Se debe crear un
inventario de proveedores, tecnológicos y no tecnológicos, y ser más diligentes
a la hora de exigirles calidad y cumplimiento vinculado a los controles y
procesos de los servicios contratados. De la misma forma, es necesario obtener
evidencias demostrables de que dichos controles se aplican correctamente.
Estos días en los que el mercado asegurador debate sobre las
dificultades de aseguramiento del riesgo cibernético, por ser considerado ya
sistémico, no debemos olvidar que este es un riesgo que solo puede provocar el
hombre. No podemos predecir los próximos huracanes ni evitar los próximos
terremotos, pero sí podemos prevenir y minimizar un ciberataque. Justamente la
aplicación de NIS 2 nos ayuda a conseguir un grado de control del riesgo que no
podemos aplicar a otros riesgos sujetos al más puro azar.
En definitiva, hagamos de la vulnerabilidad, fortaleza; de la adversidad, una gran oportunidad, tanto de crecimiento como de sostenimiento. Los ciberataques serán un riesgo diario corporativo con el que convivir y no solo sobrevivir. Por lo tanto, ganemos guerras y no demos tanta guerra.
FUENTE: CINCO DÍAS