Las empresas que incumplan la nueva normativa de ciberseguridad europea pueden tener consecuencias inasumibles
Con motivo del refuerzo del marco regulatorio del ámbito de la ciberseguridad por parte de la Unión Europea, la empresa española S2 Grupo ha destacado que esta cuestión debe ser uno de los ejes de las empresas y es clave adaptarse a la normativa porque, de lo contrario, las consecuencias de una sanción pueden ser inasumibles para los negocios.
Ante la creciente amenaza que plantean los ciberataques, la Unión Europea ha tenido que actualizar la directiva NIS para dotar a los Estados miembros de un marco común que se ha focalizado en la ciberseguridad para garantizar la ciberresiliencia de los procesos que dan soporte a servicios esenciales para la sociedad.
Desde S2 Grupo se ha destacado que la nueva estrategia de ciberseguridad de la UE se basa en tres aspectos fundamentales: la resiliencia, la soberanía tecnológica y el liderazgo; la capacidad operativa para prevenir, disuadir y responder; y la cooperación para promover un ciberespacio global, seguro y abierto.
Desde S2 Grupo se ha destacado que, en la misma línea de la actualización de la directiva NIS, hay otras dos iniciativas dentro de la nueva estrategia de la UE que son la propuesta de la Comisión del Reglamento para la resiliencia operativa digital del sector financiero (Digital OperationalResilienceAct, DORA) y la propuesta de Directiva sobre resiliencia de las infraestructuras críticas (CIR).
Por lo que se refiere a DORA, es el marco que establece la Comisión Europea para dar un enfoque común sobre la ciberresiliencia del sector financiero. DORA aplica a las entidades de crédito, proveedores de servicios de criptoactivos, proveedores de suministro de datos, empresas de seguridad y reaseguros, fondos de pensiones de empleo, etc. Pero además, los proveedores terceros esenciales de servicios TIC también deben estar muy pendientes de esta normativa, ya que también van a ser objeto de su regulación y supervisión en el marco de la Unión.
Este reglamento regula aspectos como el gobierno de la seguridad, gestión del riesgo, notificación de incidentes, pruebas de resiliencia, riesgos de terceros e intercambio de información.
Junto a esto, desde S2 Grupo se ha resaltado que en España la transposición de la Directiva NIS se realizó mediante el Real Decreto-ley 12/2018, y precisamente acaba de ver la luz, con su publicación en el Boletín Oficial del Estado. Este Real Decreto establece la obligación de definir una estrategia de ciberseguridad que establezca un marco normativo, apoyado en el Esquema Nacional de Seguridad que dote de seguridad jurídica a la estructura de ciberseguridad de las organizaciones y las soluciones tecnológicas que se desplieguen. Además, regula y establece el rol y la responsabilidad del CISO.
Por todo esto, expertos de S2 Grupo han enfatizado que ya es más que evidente la gran importancia estratégica de la ciberseguridad a nivel europeo y, por tanto, la adaptación al nuevo marco regulatorio tiene que convertirse en uno de los ejes vertebradores de las compañías.
