El Reto de la Ciberseguridad en la Unión Europea con la Directiva NIS

Se estima que sobre el segundo trimestre de este año se ratifique la nueva directiva NIS (Network and Information Security). Ante esta nueva regulación para hacer frente al reto de la ciberseguridad, los agentes implicados de los diferentes ámbitos de la sociedad, entre ellos del sector asegurador debemos llevar a cabo una gestión adecuada de los potenciales riesgos y de las distintas coberturas, con el objetivo de mantener a las empresas protegidas.

Acuerdo mínimo de legislación sobre Seguridad

La legislación aún emergente, que elevará al mínimo los estándares de seguridad en los Estados Miembros de la Unión, establecerá las bases para regular las infracciones para cualquier organización u operador de infraestructuras críticas. Se incluyen aquí sectores como la energía, proveedores de servicios (plataformas de comercio electrónico, redes sociales, motores de búsqueda, etc…), el sector transportes o a las instituciones financieras y la banca clasificadas como nivel 1 o nivel 2.

Si bien aún no se han adelantado los detalles, una vez ratificada, la directiva se implantará en dos años. Sin duda, en caso de incumplimiento se prevé que se impongan duras sanciones, con multas tan elevadas como hasta el 2% de la facturación de una empresa o hasta de 75 millones de Euros para los casos más graves.

Una vez ratificada traerá mejoras significativas:

• Una mejora significativa en cuanto a la protección de datos
• El requisito indispensable de que cada uno de los Estados adapten sus estructuras administrativas a estas nuevas obligaciones que dicte la Directiva.

Obligatoriedad para el caso de incumplimiento

Este es un tema espinoso. Muchas empresas se muestran reacias a denunciar una infracción de estas características por miedo a que el hecho en sí cause cierto impacto negativo a su reputación de imagen corporativa.

Sin embargo hay un problema con el tema de la confidencialidad. Este desconocimiento de la infracción o incumplimiento reduce también la capacidad de evaluar la magnitud del problema y de aplicar las medidas más efectivas que puedan prevenirlo.

Un desconocimiento de las consecuencias de un hecho de este tipo no garantiza evaluaciones de ciberriesgos precisos que sirvan de precedente y estudio para posteriores sucesos. Algo que reduce la capacidad de actuación y prevención.

Efectos de la Directiva

Las empresas deberán establecer planes de respuesta, incluyendo planes de gestión que tiendan a prevenir los sucesos más frecuentes.

Se exigirá a las compañías una evaluación exhaustiva de posibles riesgos, a partir de cómo un ataque de este tipo podría afectar a su infraestructura.

Los Estados Miembros también estarán obligados a designar un órgano competente que haga cumplir y aplique la directiva.

¿Y en España?

La aprobación de esta nueva Directiva NIS supone necesariamente la adaptación de nuestro marco normativo actual. Lo cual será una buena oportunidad para corregir algunas disposiciones imposibles de adaptar a este nuevo contexto normativo europeo.

Será necesario nombrar una nueva autoridad única de referencia y un CERT (Computer Emergency Response Team) o equipo de respuesta inmediata a estos ataques), tema que se ha pretendido solucionar a través de un sistema de rotación y turnos para asumir esta responsabilidad por los diferentes cargos del Estado que operan y tienen competencias en este área.

Compartir este artículo