Índice de temas
Entrada en vigor de NIS2
A pocos meses de la entrada en vigor de la Directiva NIS2, la cuestión de la ciberseguridad soberana adquiere una nueva dimensión. Si bien el tema ha cobrado importancia en los últimos años -por estar estrechamente vinculado a la soberanía de los datos-, la ampliación y el endurecimiento de las obligaciones en materia de seguridad informática llevan poco a poco a las empresas a replantearse la elección de la nacionalidad de sus ciberproveedores, ya que cumplimiento de la normativa aplicable por parte de una empresa depende en gran medida de su ubicación geográfica.
Protección de datos
Al otro lado del Atlántico, las empresas deben navegar por el complejo laberinto de la protección de datos que incluye la Ley de la Nube, el Escudo de Privacidad y, más recientemente, el Marco de Privacidad de Datos. Este último también ha recibido la aprobación de la CNIL en julio de 2023, lo que ya pone de manifiesto un cierto deseo de unificar el panorama normativo. En Europa, el Reglamento General de Protección de Datos (RGPD) ha sido un punto de partida clave para la protección de datos. Su objetivo es establecer una protección contra las violaciones de datos y los ciberataques mediante estrictas normas sobre la forma en que las empresas deben tratar los datos personales. El GDPR marcó un verdadero punto de inflexión en la manera en que se percibe y gestiona la ciberseguridad en la Unión Europea, haciendo hincapié en la necesidad de un enfoque proactivo para proteger los datos sensibles.
Proliferan las normativas (DORA, etc.)
Con el volumen de ataques de ransomware en clara tendencia al alza, las organizaciones gubernamentales intentan ahora adelantarse a la curva situando estos ataques en el centro de las normativas cibernéticas. Las recientes directrices de la SEC y la LOPMI, entre otras, han hecho hincapié en la necesidad de combatir este tipo de amenazas, con el imperativo de reforzar la resiliencia europea, especialmente dentro de las infraestructuras críticas. Necesidad de proteger los datos de los ciudadanos. En este sentido, la Unión Europea sigue endureciendo su tono. Si bien las directivas se han multiplicado en los últimos años (DORA, Cyber Solidarity Act, Cyber Resilience Act, Ley de IA así como el proyecto de ley SREN), la inminente evolución de la directiva NIS todavía obligará a las empresas a llevar la ciberseguridad al siguiente nivel. Adoptada en 2016 y transpuesta en Francia en 2018, NIS (por Network and Information System Security) es una normativa esencial de la que se deriva la norma ISO 27001.
Gestión transfronteriza de las ciberamenazas
En enero de 2023, los Estados miembros de la UE adoptaron formalmente una revisión de la Directiva NIS de 2016, cuya entrada en vigor está prevista para el próximo mes de octubre. Diseñada en respuesta a varios ciberataques perjudiciales y ampliamente publicitados, la Directiva NIS2 refuerza los requisitos de seguridad, racionaliza las obligaciones de notificación e introduce medidas de supervisión y requisitos de aplicación más estrictos. Más estricta que su predecesora, también amplía el ámbito de aplicación para incluir un mayor número de organizaciones y sectores, pero también para armonizar las prácticas de ciberseguridad en toda la Unión Europea. Se trata sin duda de un objetivo ambicioso, ya que implicará una mayor armonización entre los requisitos de la Directiva y la legislación nacional para garantizar un nivel uniforme de seguridad y resistencia en toda la UE.
De hecho, la mayoría de las herramientas cibernéticas europeas ya incluyen medidas para conducir a las empresas hacia el cumplimiento de las normas ISO/IEC 27001 y GDPR, o incluso NIS2 para las más avanzadas. Al optar por un proveedor de seguridad con sede en la UE, este tendrá gran parte de la responsabilidad de la documentación para el cumplimiento de las normas, lo que permitirá a las empresas centrar sus esfuerzos en otros aspectos críticos de la ciberseguridad, como la formación de los empleados, la continuidad del negocio y el análisis de riesgos. Por lo tanto, es esencial ser consciente de que esta legislación sólo se aplica a las empresas de la UE y que los proveedores de seguridad ubicados en Estados Unidos, por ejemplo, no estarán obligados a cumplir estas nuevas normas. Aunque algunos de ellos intenten cumplirla para facilitar el comercio con empresas europeas, la responsabilidad recaerá en cualquier caso en la propia empresa.
Gestión transfronteriza de las ciberamenazas
Ya se trate de espionaje industrial o de puesta en peligro de datos, el riesgo asociado a las soluciones de ciberseguridad que dependen de una legislación no europea es ya una realidad para muchas empresas. Por lo tanto, es esencial elegir socios que comprendan los requisitos normativos específicos de un sector o zona geográfica y que, además, sean capaces de ayudar a las empresas a aplicarlos eficazmente. La oportunidad es única, no solo para permitir que un mayor número de organizaciones -de las que dependen los ciudadanos- refuercen sus defensas contra los ciberataques, sino también para abrir un nuevo e importante capítulo en la gestión transfronteriza de las ciberamenazas.