Querido directivo: Obviar la ciberseguridad saldrá muy caro

El reglamento DORA y la directiva NIS2 aprobados por la UE elevan las exigencias en materia de ciberseguridad e incrementan las sanciones a las compañías y órganos de dirección que incumplan la normativa

La ciberseguridad no es una moda, es una realidad ineludible. Ransomware, phishing, smishing… Las técnicas que emplean los delincuentes son cada vez más sofisticadas y los ataques están al orden del día. Actualmente, ya resulta extraño no recibir, de vez en cuando, un sms o un correo electrónico que simula provenir de compañías de nuestra máxima confianza. Desde nuestro banco, hasta una empresa de paquetería, pasando por nuestra suministradora de luz o internet. A la luz de este escenario plagado de amenazas, la Unión Europea viene de aprobar dos paquetes normativos que dejan claro a las medianas y grades empresas y a sus cargos directivos que obviar la ciberseguridad saldrá muy caro.

Tras la aprobación del reglamento DORA, centrado en las entidades financieras, y la directiva NIS2, que afecta a las compañías de los sectores estratégicos de la UE, las empresas tendrán que redoblar sus esfuerzos en diseñar, implementar y evaluar sus estrategias de seguridad y contratar servicios de ciberseguridad para evitar incidentes que pongan en tela de juicio su modelo de negocio y la protección de sus clientes.

Obviar la ciberseguridad saldrá muy caro no solo por las consecuencias económicas y reputacionales ligadas a los ciberataques exitosos. Sino también por las sanciones y multas que pueden imponer las autoridades competentes a aquellas compañías, y a sus directivos, que incumplan las exigencias incluidas en el reglamento DORA y la directiva NIS2.

En este artículo, vamos a abordar las medidas coercitivas a las que se pueden ver expuestas decenas de miles de empresas en toda la Unión Europea, así como los profesionales que conforman sus órganos de dirección. A partir de ahora, obviar la ciberseguridad saldrá muy caro, llegando a afectar sustancialmente a los resultados de una compañía y a la carrera de sus directivos.

1. DORA: Los órganos de dirección de las entidades financieras son los responsables de la ciberseguridad

El reglamento DORA, sobre la resiliencia operativa digital del sector financiero, aprobado por el Parlamento y el Consejo Europeo, tiene como misión garantizar que los bancos y demás entidades financieras cuentan con las herramientas y protocolos necesarios para resistir a los ciberataques.

Si hay unos actores especialmente interesantes para los delincuentes son, sin duda alguna, las entidades financieras. Puesto que ellas guardan los recursos económicos de las empresas y la ciudadanía y tienen en su haber los datos más sensibles: los económicos.
Por ello, en el seno de la UE se han puesto en marcha iniciativas que buscan securizar los sistemas y activos de las entidades financieras, como el programa TIBER-EU del BCE o el reglamento DORA.

1.1. ¿A quién afecta DORA?

Las disposiciones del reglamento DORA son de obligado cumplimiento para la práctica totalidad del sector financiero. A diferencia de NIS2, de la que hablaremos más adelante, este reglamento no afecta, solo, a las medianas y grandes empresas, sino que también está destinado a las pequeñas y a las microempresas. Si bien el alcance de las medidas y reglas no es el mismo. De ahí que, por ejemplo, las pruebas de resiliencia operativa digital que deben realizar las compañías, serán más exigentes para las grandes entidades y menos ambiciosas en el caso de las organizaciones de menor tamaño.

El reglamento estipula las diferentes clases de organizaciones que deben cumplir con sus disposiciones:

• Entidades de crédito, de pago, de dinero electrónico y de contrapartida central.
• Empresas de servicios de inversión.
• Proveedores de servicios de información sobre cuentas, de criptoactivos y de suministro de datos.
• Depositarios centrales de valores y entidades de contrapartida central.
• Centros de negociación.
• Registros de operaciones.
• Gestores de fondos de inversión alternativos.
• Sociedades de gestión.
• Empresas de seguros y de reaseguros, así como intermediarios en estas áreas.
• Fondos de pensiones de empleo.
• Agencias de calificación crediticia.
• Administradores de índices de referencia cruciales.
• Proveedores de servicios de financiación participativa.
• Registros de titulizaciones.

Más allá del sector financiero, el reglamento DORA pone su foco de atención, también, en un actor clave en materia de ciberseguridad: los proveedores terceros de servicios TIC.

1.2. Las 3 claves de DORA

En lo que respecta a las obligaciones que DORA impone a las entidades del sector financiero, podemos destacar tres grandes ítems:

• Marco de gestión de los riesgos TIC. Las entidades deberán contar con un marco sólido que les permita cubrir los ámbitos clave de la gestión de las amenazas: la identificación de las vulnerabilidades, la protección y prevención frente a los ciberataques, la detección de los incidentes y su remediación, poniendo el acento en la continuidad de negocio y la recuperación de la normalidad en el menor tiempo posible.
•  Notificación de incidentes graves. El nuevo reglamento impone a las entidades financieras la obligación de informar sobre los incidentes de seguridad graves. El objetivo de esta medida es aumentar el flujo de información sobre los ciberataques e incrementar la capacidad de prevención y respuesta del conjunto del sistema financiero europeo.
• Obligación de realizar pruebas de resiliencia operativa digital. Mediante estas pruebas, que deben formar parte del marco de gestión de los riesgos TIC, se busca detectar vulnerabilidades, priorizar su subsanación y contrastar fehacientemente los mecanismos, controles y planes de seguridad de cada entidad financiera.

1.3. Las obligaciones del órgano de dirección en la gestión de los riesgos TIC

El reglamento DORA estipula que los órganos de dirección de las entidades financieras definirán, aprobarán y supervisarán todas las disposiciones relacionadas con el marco de gestión de los riesgos TIC. Asimismo, los hace responsables de dicha gestión. De tal manera que los consejos de administración de las compañías del sector financiero pasan a tener un protagonismo central en la estrategia de seguridad.

1.3.1. Desde la estrategia de resiliencia hasta la creación de un cargo para canalizar la información sobre ciberseguridad

De entre las funciones que el reglamento DORA asigna al órgano de dirección de las entidades financieras, podemos destacar las siguientes:

• Adopción de políticas y mecanismos de gobernanza. Deberán aprobar políticas para mantener un nivel elevado de disponibilidad, autenticidad, integridad y confidencialidad de los datos. Asimismo, tendrán que establecer mecanismos de gobernanza para facilitar la comunicación y coordinación entre todas las personas implicadas en la gestión de la seguridad.
• Establecimiento de la estrategia de resiliencia operativa digital. Deberán aprobar esta estrategia, que deberá garantizar un nivel adecuado de tolerancia a los riesgos TIC. Además, deberán asignar un presupuesto para ello, incluyendo partidas para la formación de todo el personal.
• Aprobación, supervisión y revisión de los planes de continuidad de negocio, respuesta y recuperación. Así como de los planes de auditoría internos de TIC y las auditorías de TIC de la entidad.
• Aprobación y revisión de la política sobre acuerdos relacionados con el uso de servicios prestados por proveedores terceros de servicios TIC. Así como el establecimiento de canales de comunicación para estar informados sobre dichos acuerdos, sus modificaciones y las consecuencias de las mismas. Además, es fundamental que exista un canal de comunicación óptimo en lo que respecta a los incidentes de seguridad y a las medidas de respuesta, recuperación y remediación.
• Creación de un cargo de seguimiento de los acuerdos con los proveedores terceros. O designación de un miembro de la alta dirección responsable de las TIC que informará al órgano de dirección sobre las pruebas de resiliencia operativa digital, los ciberataques reales y los problemas detectados al activar los planes de continuidad de negocio, respuesta y recuperación. Además, efectuará recomendaciones para optimizar la capacidad de resiliencia de la compañía.
• Formación continua de todos los miembros del órgano de dirección en materia de ciberseguridad.

1.4. Sanciones administrativas y medidas correctoras

De cara a garantizar el cumplimiento de las obligaciones normativas y las medidas que impone a las entidades financieras, el reglamento DORA establece que los Estados deberán aprobar normas que prevean sanciones administrativas y medidas correctoras. Dichas sanciones deberán eficaces, proporcionales y disuasorias. De entre las acciones que se pueden poner en marcha podemos destacar:

• Emitir requerimientos dirigidos a las personas físicas o jurídicas que están infringiendo el reglamento, para que pongan fin a su conducta y no la repitan en un futuro.
• Exigir el cese de toda práctica contraria al reglamento.
• Adoptar cualquier medida, incluidas multas, para garantizar que las entidades financieras cumplen con sus obligaciones.
• De acuerdo con el Derecho nacional, exigir los registros de tráfico de datos de los operadores de telecomunicaciones si existen sospechas fundadas de infracciones.
• Publicar avisos, incluso declaraciones públicas, en los que figuren las personas físicas o jurídicas que están infringiendo la normativa.
• En lo relativo a las personas jurídicas, los Estados deberán capacitar a las autoridades competentes para aplicar sanciones administrativas y medidas correctoras contra los miembros del órgano de dirección y otras personas responsables de la infracción cometida por la entidad financiera.

A mayores, DORA estipula que los Estados podrán decidir establecer sanciones penales por infracciones del reglamento.

Este conjunto de medidas incide en un objetivo manifiesto: concienciar a los consejos de administración y cargos directivos de las entidades financieras de que obviar la ciberseguridad saldrá muy caro.

2. NIS2: Sanciones millonarias para garantizar la gestión de los riesgos de ciberseguridad

Prácticamente en paralelo a la aprobación del reglamento DORA, ha tenido lugar la adopción de la directiva NIS2. Esta norma supone una actualización mucho más ambiciosa de la directiva original, pionera en lo que respecta a la ciberseguridad en los sectores más importantes de la Unión Europea.

NIS2, al tratarse, como ya señalamos, de una directiva, no entra en vigor automáticamente como sucede con el reglamento DORA. Sino que los Estados que forman parte de la UE tendrán un plazo de 21 meses desde la publicación de la norma para transponerla a sus ordenamientos jurídicos.

Este margen temporal es de vital importancia para que las numerosas empresas que deben cumplir con lo dispuesto en la directiva acometan las transformaciones necesarias en materia de ciberseguridad.

Por otro lado, hay que señalar que el hecho de que NIS2 no sea aplicable directamente no significa, sin embargo, que carezca de validez. En caso de que los Estados incumplan su deber de transponer sus disposiciones, la Justicia Europea puede actuar a través de sentencias que estimen la obligatoriedad de las medidas exigidas por la disposición.

2.1. ¿A quién afecta NIS2?

Los requisitos incluidos en NIS2 no tienen como destinatarios al conjunto del tejido empresarial y a las administraciones públicas europeos. Sino que la directiva establece los 16 sectores críticos que se persigue securizar.

Asimismo, no todas las empresas que operan en alguno de estos sectores, que van desde la energía hasta la gestión de residuos, se verán afectadas por NIS2. Ya que la directiva va dirigida a las grandes y medianas empresas de la UE.

Ajustándonos a la propia definición aprobada por la Comisión Europea, las grandes compañías son aquellas cuya facturación es superior a los 50 millones de euros anuales o cuentan con 250 o más trabajadores.

Para que nos hagamos una idea del impacto de NIS2, solo en España, alrededor de 4.000 empresas facturan más de 50 millones de euros, según el INE.

Por su parte, las medianas empresas son aquellas conformadas por 50 o más profesionales y/o facturan más de 10 millones de euros. El número de organizaciones que se ajustan a estas características en nuestro país asciende a decenas de miles de empresas. Si abrimos el foco a toda la Unión Europea, nos encontraríamos con cientos de miles de empresas que tendrán que ajustar sus estrategias de ciberseguridad a los requisitos de la directiva NIS2.

La nueva norma divide a las organizaciones a las que va dirigida en dos grupos, con obligaciones y sanciones administrativas diferentes: las entidades esenciales y las importantes.

2.1.1. Entidades esenciales según NIS2

La directiva NIS2 define como entidades esenciales a las grandes compañías que desenvuelven sus actividades en alguno de los siguientes 10 sectores estratégicos:

1. Energía
2. Transporte
3. Banca
4. Infraestructuras de los mercados financieros
5. Salud
6. Agua potable
7. Aguas residuales
8. Infraestructura digital. Prestando especial atención a la gestión de los servicios TIC
9. Administraciones públicas. Excluyendo al Poder Judicial, los Parlamentos y los Bancos Centrales
10. Espacio

A estas organizaciones, la directiva suma otras entidades que también se consideran esenciales:

• Los proveedores de servicios de confianza cualificados, registro de nombres de dominio de primer nivel y proveedores de servicios DNS, sin importar su tamaño.
• Los proveedores de redes públicas de comunicaciones electrónicas o de servicios de comunicaciones electrónicas disponibles al público cuyo tamaño se sitúe en el límite máximo de las medianas empresas, es decir, 250 trabajadores y 50 millones de euros de facturación.
• Otras entidades de los sectores críticos, establecidas por los Estados miembros de la UE, en función de las evaluaciones nacionales de riesgos.

2.1.2. Entidades importantes según NIS2

Por su parte, la categoría de entidad importante incluye a las empresas medianas de los sectores que venimos de señalar y a las compañías medianas y grandes de los otros seis sectores críticos que figuran en la directiva NIS2:

1. Servicios postales y de mensajería
2. Gestión de residuos
3. Fabricación, producción y distribución de productos químicos
4. Producción, transformación y distribución de alimentos
5. Fabricación de productos sanitarios, informáticos, electrónicos y ópticos, así como material eléctrico, maquinaria y equipos, vehículos de motor y otros medios de transporte
6. Proveedores digitales

2.2. ¿Qué papel juegan los órganos de dirección?

La directiva NIS2 estipula que los Estados son los encargados de velar porque los órganos de dirección de las entidades esenciales e importantes cumplen con sus obligaciones en dos grandes cuestiones: la gestión de los riesgos de seguridad que tiene que afrontar la compañía y la formación de los miembros de estos órganos.

2.2.1. Gestión de riesgos de ciberseguridad

Los órganos de dirección deben aprobar y supervisar la implementación de las medidas necesarias para llevar a cabo una gestión eficaz de los riesgos y amenazas. NIS2 establece que dichas medidas deberán incluir, como mínimo:

1. Análisis de riesgos y políticas de seguridad de los sistemas de información.
2. Gestión de incidentes: planes de prevención, detección, respuesta y recuperación ante incidentes.
3. Continuidad de negocio y gestión de crisis.
4. Seguridad de la cadena de suministro. Incluyendo los aspectos de seguridad relacionados con las relaciones con los proveedores, como aquellos que prestan servicios de procesamiento de datos.
5. Seguridad en la adquisición, desarrollo y mantenimiento de redes y sistemas de información.
6. Evaluación de la eficacia de las medidas de gestión de riesgos de ciberseguridad.
7. Política sobre el uso de la criptografía y la encriptación. Debe garantizarse, también, la seguridad de los recursos humanos, las políticas de control de acceso y la gestión de los activos.

Asimismo, las personas que forman parte de los órganos de dirección serán consideradas responsables del incumplimiento por parte de las compañías de estas medidas.

2.2.2. Formación en ciberseguridad

Los miembros de los órganos de dirección tendrán que formarse continuamente en materia de ciberseguridad. Además, deberán fomentar que las compañías ofrezcan una formación similar al conjunto de profesionales que conforman sus plantillas.

La apuesta por la formación que hace NIS2 tiene por objetivo que todos los trabajadores de las empresas:

• Adquieran conocimientos y capacidades para evaluar los riesgos de seguridad.
• Sigan las mejores prácticas en el sector.
• Se conciencien sobre el impacto de la ciberseguridad en los servicios que presta la compañía para la que trabajan.

2.3. Notificar los incidentes significativos

Además de poner en marcha una gestión de los riesgos de seguridad eficaz que debe ser evaluada periódicamente, las compañías para las que NIS2 es de obligado cumplimiento deben informar al CSIRT de los incidentes de seguridad significativos que experimenten.

Así, dispondrán de un plazo de 24 horas desde la detección del incidente, para elevar a la autoridad competente un informe inicial sobre lo acontecido.

Por otro lado, en una segunda fase, deberán presentar un informe final sobre el incidente antes de que termine el plazo de un mes. En dicho informe se deberá incluir una mayor cantidad de información sobre el incidente, contribuyendo, de esta manera, a la generación de conocimiento sobre las amenazas que se ciernen sobre los sectores críticos de la UE.

2.4. Medidas para garantizar el cumplimiento de la norma: Desde la advertencia hasta la inhabilitación del CEO

NIS2 incluye un paquete de acciones al alcance de las autoridades competentes en cada Estado para garantizar el cumplimiento de la normativa. Estas acciones deben ser efectivas, proporcionales, disuasivas y tener en cuenta las circunstancias de cada organización.

En lo que respecta a las entidades esenciales, las autoridades pueden:

• Emitir advertencias por el incumplimiento de las obligaciones.
• Emitir instrucciones vinculantes con las medidas a implementar para prevenir o remediar un incidente de seguridad. Incluyendo los plazos de ejecución y el deber de informar sobre su aplicación.
• Ordenar a las entidades que subsanen las deficiencias detectadas, cesen en su incumplimiento de las obligaciones estipuladas en la directiva NIS2 o ajusten sus medidas de gestión de riesgos de ciberseguridad a lo establecido en la normativa.
• Ordenar la aplicación de las recomendaciones formuladas tras la elaboración de una auditoría de seguridad. Para ello, se debe establecer un plazo razonable para implementar dichas recomendaciones.

Si estas acciones no surgen efecto, los Estados deben asegurarse de que las autoridades competentes tengan el poder de:

• Suspender temporalmente o solicitar a la Justicia o al organismo de certificación pertinente la suspensión temporal de una certificación o autorización relativa todos o algunos de los servicios y actividades que presta la compañía.
• Solicitar la imposición por los tribunales u organismos pertinentes la inhabilitación temporal del profesional que ejerce las funciones de CEO o actúa como representante legal de la entidad incumplidora. Dicha inhabilitación temporal conllevará que no pueda ejercer tareas directivas en la compañía hasta que ésta no cumpla con la normativa.

En lo relativo a las entidades importantes, las autoridades pueden poner en marcha las acciones de emisión de órdenes que señalamos antes, sin embargo, no pueden solicitar la suspensión de las actividades de las compañías o de las funciones del CEO o el responsable legal.

2.5. Multas administrativas millonarias

Además de las medidas que señalamos en el apartado anterior, los Estados deben garantizar la posibilidad de imponer multas administrativas a las compañías incumplidoras en lo relativo a la gestión de los riesgos de ciberseguridad y en lo que respecta a la notificación de los incidentes.

En el caso de las entidades esenciales, estas sanciones pecuniarias pueden llegar a ascender a los 10 millones de euros o al 2% del volumen de negocios de la compañía sancionada a nivel global, en función de cuál sea la cifra más elevada.

Para que nos hagamos una idea, una empresa que factura 50 millones de euros al año puede ser multada con 1 millón de euros por no contar con un plan para recuperarse de los incidentes de seguridad. Si hablamos de una gran compañía, con una facturación de 10.000 millones de euros, la multa podría ascender a los 200 millones.

Mientras que en lo relativo a las entidades importantes, las infracciones de la directiva NIS2 se deberán castigar, por lo menos, con un máximo de 7 millones de euros o un 1,4% de su facturación en todo el mundo.

Habida cuenta de todo lo que hemos ido exponiendo a lo largo de este artículo, resulta evidente que el tejido empresarial y las administraciones públicas deben asumir que obviar la ciberseguridad saldrá muy caro a partir de ahora.

No solo por las repercusiones económicas y reputacionales asociadas a un incidente de seguridad grave. Sino también por el esfuerzo regulador de la UE y la puesta en marcha de medidas coercitivas y multas millonarias, no solo contra las compañías infractoras, sino también contra sus consejos de administración y cargos directivos.