Sanciones a los consejos de empresas que no garanticen la ciberseguridad

La Unión Europea aprueba un nuevo marco normativo para elevar la seguridad informática, que afecta a empresas medianas y grandes que prestan servicios esenciales; prevé sanciones "disuasorias" e incluso la inhabilitación temporal de directivos.

La preocupación de la UE por la ciberseguridad viene de tiempo atrás, pero la agresión de Rusia a Ucrania ha acrecentado el miedo y las amenazas de ataques a infraestructuras críticas que, de materializarse, podrían provocar un terremoto económico, político y social. Y es que más allá del auge de la ciberdelincuencia o del enfrentamiento militar en suelo ucraniano, el pulso que mantienen las grandes fuerzas de poder en el tablero geopolítico se libra ya en buena parte en el ciberespacio, incluida la desinformación o los intentos de influir en las opiniones públicas de terceros países o en sus resultados electorales.

Pero el mayor foco de riesgo e inquietud se centra en la posibilidad de ataques a infraestructuras y servicios esenciales, como la energía, el transporte, la sanidad o el sistema financiero. En este contexto, la UE acaba de aprobar dos importantes paquetes normativos, la Directiva NIS 2 y el Reglamento DORA para el sector financiero, destinados a armonizar y reforzar la ciberseguridad en el bloque comunitario, que imponen unas normas mínimas comunes que todos los Estados deben cumplir y hacer cumplir a las empresas de mayor tamaño; amplían y detallan la lista de sectores obligados por esas normas, tanto del sector público como privado, y fijan severos mecanismos sancionadores para garantizar su cumplimiento.

Con carácter general, la nueva Directiva NIS 2 afectará a las compañías medianas y grandes (a partir de 250 trabajadores y un volumen de negocio anual superior a 50 millones de euros), lo que constituye un cambio de calado, ya que en la anterior norma eran los propios gobiernos los que decidían qué entidades cumplían los criterios para ser consideradas operadores de servicios esenciales. Ahora, "todas las entidades medianas y grandes que operen en los sectores o presten servicios cubiertos por la Directiva entran dentro de su ámbito de aplicación".

La responsabilidad recae en los consejos de administración

El nuevo paquete normativo, que incrementa y armoniza las exigencias en materia de ciberseguridad y refuerza el papel de los gobiernos para hacerlas cumplir, tendrá un claro impacto sobre el tejido empresarial, que se verá obligado a reforzar sus actuaciones en este ámbito si no quisieran enfrentarse a duras sanciones. La responsabilidad de hacer cumplir la ley recaerá en los consejos de administración de las compañías. "Los órganos de dirección de las entidades incluidas en el ámbito de aplicación de la presente Directiva deben aprobar las medidas de gestión de los riesgos de ciberseguridad y supervisar su aplicación", reza el texto de la norma. Esto deja dicho que, serán los directores de esas compañías los responsables en caso de "incumplimiento de las obligaciones recogidas".

Las sanciones podrán ir más allá de lo pecuniario e implicar, por ejemplo, la suspensión total o parcial de la autorización "de los servicios prestados por una entidad esencial y la imposición de una prohibición temporal de que una persona física ejerza funciones de dirección". Esto, podría afectar a la cúpula directiva de la compañía. Sin olvidar que los Estados tendrán, además, la potestad de imponer sanciones penales en los casos más graves.

La adaptación al nuevo marco normativo, para el que las compañías tendrán un plazo de 21 meses desde su entrada en vigor en el caso de la Directiva NIS 2 (Dora, al ser un reglamento, es de aplicación directa e inmediata sin necesidad de trasposición) implicará un esfuerzo inversor para las empresas concernidas, que serán muchas. De hecho, para suavizar el impacto de esa obligada adaptación, la Comisión Europea lanzó a mediados de noviembre una convocatoria de ayudas de 176,5 millones para financiar las mayores exigencias en ciberseguridad.

A cambio, será inflexible en su cumplimiento. Aunque la directiva no cuantifica las sanciones, ya que serán los Estados miembros los que establezcan el régimen aplicable, sí deja claro que dichas multas deberán ser "efectivas, proporcionadas y disuasorias"; esto es, "sanciones eficaces, que son fundamentales para garantizar el cumplimiento efectivo de dichas obligaciones".

Las dos normas que Europa ha introducido en su legislación para intentar blindar su seguridad digital son, por un lado, la Directiva NIS 2, que sustituye a la norma actual, aprobada en 2016, destinada a mejorar la capacidad de respuesta y resiliencia en este ámbito de las administraciones y las empresas europeas. Y por otro, el Reglamento sobre Resiliencia Operativa Digital (DORA), que pone el acento en el sector financiero, crucial para la economía del continente en un contexto en el que una eventual "grave perturbación operativa" minaría la confianza de los inversores con consecuencias imprevisibles para la economía.

"Gracias a los requisitos legales armonizados que hemos adoptado, nuestro sector financiero estará en mejores condiciones de seguir funcionando en todo momento. Si se lanza un ataque a gran escala contra el sector financiero europeo, estaremos preparados para ello", señaló la semana pasada Zbynìk Stanjura, ministro de Hacienda de Chequia, país que ostenta la presidencia de turno de la Unión Europea.

La ciberseguridad es desde hace años una de las máximas prioridades de las entidades financieras, pero Europa cree que "tenemos que dar un paso más", que llega con este nuevo reglamento cuyo principal objetivo, según la UE, es "prevenir y mitigar las ciberamenazas".

ENERGÍA, BANCA, TRANSPORTE, SANIDAD, ALIMENTACIÓN, SEGUROS, INFRAESTRUCTURAS DIGITALES Y AGUA, EN LA MIRA

El catálogo de sectores y empresas afectadas por el nuevo marco normativo es muy amplio. ¿Cuáles son esos sectores considerados críticos? Para empezar y como es lógico, el energético, incluidas las eléctricas y los gestores de la red de distribución y transporte; los sistemas urbanos de calefacción o refrigeración; los productores de petróleo; los operadores de oleoductos o las instalaciones de refinado; las empresas gasistas (suministro, transporte, almacenamiento…).

También realizan una actividad esencial las compañías aéreas, los gestores aeroportuarios y los controladores; el transporte ferroviario; el marítimo y fluvial (compañías de transporte, gestores de los puertos…); las infraestructuras de los mercados financieros, o el sector sanitario (hospitales, laboratorios, entidades que hacen I+D de medicamentos, fabricantes de productos farmacéuticos y sanitarios). A ellos se suman otros sectores igualmente críticos, como los gestores de agua potable (suministro y distribución) y de aguas residuales; y, por supuesto, las infraestructuras digitales: proveedores de puntos de intercambio de Internet, de servicios DNS o de computación en la nube, así como centros de datos. La lista es más larga e incluye la producción y distribución de alimentos, así como la fabricación y mezcla de sustancias químicas, o los servicios postales y de mensajería. En el ámbito financiero, el nuevo reglamento afecta a los bancos; a las firmas de inversión; a las aseguradoras; a las entidades de dinero electrónico; a proveedores de servicios de criptoactivos autorizados por la UE; a depositarios centrales de valores, o a las entidades de contrapartida.

Sin olvidar los centros de negociación de valores (bolsas); los gestores de fondos alternativos; las empresas suministradoras de datos; los fondos de pensiones, o las agencias de ráting y pare de contar…

El resto del mundo debe ver esto como un ejemplo y comenzar a organizarse internamente en el ámbito de seguridad de la información pues, lo más probables este tipo de normas y regulaciones sean adoptadas por los demás continentes más pronto que tarde.

 

Maria Manuela Rodríguez
[email protected]


× Contáctanos