El Economista - Buen Gobierno y RSC
Europa impone nuevas reglas de ciberseguridad a las empresas
Con la entrada en vigor de la nueva Diectiva para protegerse de la ciberdelincuencia, se prevé que la ciberseguridad se reconozca expresamente como una responsabilidad empresarial al más alto nivel gerencial.
La futura Directiva europea de ciberseguridad (NIS2) incluirá aspectos relacionados con la respuesta a incidentes de seguridad, el refuerzo de la seguridad de la cadena de suministro, el cifrado de la información, o la divulgación de vulnerabilidades. Asimismo, se prevé que la ciberseguridad se reconozca expresamente como una responsabilidad empresarial al más alto nivel gerencial, lo que puede suponer una revisión de la responsabilidad legal de los administradores y directivos de estas compañías.
Esta nueva norma, aunque en fase de borrador, hace recomendable para las empresas afectadas, que comiencen a planificar su impacto en la manera de gestionar la ciberseguridad, y a identificar qué nuevas medidas deben adoptarse próximamente. No solamente porque nos obligue una ley o porque el regulador nos pueda sancionar, concluye Pérez Bes, sino porque está en juego la continuidad del propio negocio.
Falta de homogeneidad
Desde su aprobación en el año 2017, una de las principales críticas a la actual Directiva sobre la seguridad de las redes y sistemas de información (comúnmente conocida como NIS), ha sido la de que los Estados miembros la han incorporado a sus ordenamientos internos de una manera poco homogénea, lo que ha provocado una fragmentación del mercado único y, a juicio del Parlamento Europeo, ha situado a los países europeos en unos niveles de ciberseguridad insuficientes.
La situación actual, dominada por ciberataques cada vez más numerosos y complejos, hace necesario actualizar la normativa actual, al objeto de conseguir que Europa sea un lugar seguro para trabajar y para hacer negocios.
Así lo demuestran los datos aportados al informe de la nueva Directiva NIS2, que reflejan que el ciberdelito se duplicó en 2019 y el ransomware se triplicó en 2020 y que, sin embargo, las empresas e instituciones europeas siguen invirtiendo en ciberseguridad un 41% menos que Estados Unidos.
El pronóstico más reciente también muestra datos preocupantes: los daños causados por el ransomware podrían alcanzar los 17 mil millones de euros al acabar el año 2021, lo que multiplica por 57 los costes correspondientes a 2015. Y se prevé que, en 2021, las empresas sufran un ataque de ransomware cada 11 segundos, frente a los 40 segundos de 2016.