Lupa
Button toggle Button toggle
Inicio Flecha a la derecha Categorías ... Flecha a la derecha ... Flecha a la derecha Llegan las primeras sanciones europeas contra ciber... Comunicar los...
Botón de scroll

Llegan las primeras sanciones europeas contra ciberataques: ¿qué cambia en la gestión de ciberriesgos?

Rectangules
1 de octubre de 2020

NUESTROS EXPERTOS:

Tiempo de lectura
3 minutos

Edición editorial:

Juan F.Samaniego

Muchas empresas, organismos y actividades han sufrido a consecuencia de estos ataques. ¿Qué cambios va a haber en la gestión de ciberriesgos?

El 12 de mayo de 2017, entre las 8 y las 17:08 horas, un ataque de ransomware paralizó el mundo. Ahora, más de tres años después del ciber incidente provocado por el virus Wannacry, el Consejo de la Unión Europea (UE) ha impuesto las primeras sanciones a seis personas y tres entidades relacionadas con este y otros ciberataques. La decisión abre un nuevo frente en la gestión de los ciberriesgos y la lucha contra los cibercriminales.

Sanciones frente a los ciberataques

A través de una orden publicada el 30 de julio de 2020, el Consejo de la UE emitió las sanciones contra los responsables de varios ataques informáticos, incluyendo WannaCry y NotPetya, pero también el ciberataque contra la Organización para la Prohibición de las Armas Químicas (OPCW, por sus siglas en inglés) y la llamada Operation Cloud Hopper. Las sanciones incluyen restricciones de movimiento, inmovilización de bienes y la prohibición de recibir ningún tipo de financiación con origen público o privado en la Unión Europea.

“El Consejo ha decidido aplicar medidas restrictivas a seis personas y tres entidades u organismos involucrados en ciberataques con efectos importantes o en tentativas de ciberataque con efectos potencialmente importantes que constituyen una amenaza externa para la Unión Europea o sus Estados miembros, o con efectos importantes en terceros Estados u organizaciones internacionales”, señaló Josep Borrell, el alto representante de la UE para Asuntos Exteriores y Política de Seguridad.

La Unión Europea busca incrementar su resiliencia y su capacidad de prevención, disuasión y respuesta a las amenazas informáticas y a los ciberataques

Y es que fueron muchas las empresas, organismos y actividades que sufrieron la consecuencia de estos ataques, incluyendo muchas organizaciones españolas. Con esta decisión, la Unión Europea busca incrementar su resiliencia y su capacidad de prevención, disuasión y respuesta a las amenazas informáticas y a los ciberataques.

Consecuencia de un nuevo marco legal

Estas sanciones europeas hubiesen sido imposibles sin el nuevo marco legal regional establecido el 17 de mayo de 2019 y cuyo desarrollo se puso en marcha como respuesta al incidente de WannaCry en 2017. Este nuevo marco regulatorio permite a la UE imponer medidas restrictivas para disuadir y contrarrestar los ciberataques que amenacen a la Unión o a alguno de sus estados miembros, así como organizaciones internacionales.

La denominada regulación 2019/796 permite sancionar a los responsables de los ciberataques que tienen repercusiones importantes y se cometen desde el exterior de la UE, utilizan infraestructura exterior, son perpetrados por personas o entidades establecidas fuera de la UE o son cometidos con el apoyo de entidades activas fuera de la Unión. La regulación no solo afecta a los ataques exitosos, sino a las tentativas con repercusiones potencialmente importantes.

El reglamento solo afecta a los ciberataques o las tentativas que son una amenaza seria para los Estados miembros

¿Qué es un ciberataque?

Además, el nuevo marco legal define como ciberataque como cualquier tipo de acción no autorizada por el propietario o por otro titular de derechos del sistema o de los datos y que tenga como objetivo:

  • Acceso a sistemas de información.
  • Intromisión en sistemas de información.
  • Intromisión en datos.
  • Interceptación de datos.

Eso sí, el reglamento solo afecta a los ciberataques o las tentativas que son una amenaza seria para los Estados miembros. Es decir, se podrán sancionar ataques cibernéticos relacionados con las infraestructuras críticas (como telecomunicaciones o dispositivos espaciales), servicios esenciales como la energía, el transporte, la sanidad o los mercados financieros, las funciones vitales del Estado, como defensa, procesos electorales o seguridad, la información clasificada y los equipos de respuesta de emergencia.

Tal como acaba de suceder, el reglamento contempla como sanciones la inmovilización de activos de los responsables de los ataques, sean personas o entidades, la prohibición de viajar a la Unión Europea y el acceso a fondos o financiación de cualquier tipo con origen en la UE.

¿Cómo cambia la gestión de los ciberriesgos?

Las medidas adoptadas por la Unión Europea están encaminadas a disuadir las actividades delictivas cibernéticas y a reforzar la capacidad de respuesta a nivel macro. Sin embargo, a nivel local, en la realidad diaria de las empresas y sus ciber riesgos, solo tendrán un impacto indirecto.

“Por ello, sigue siendo muy necesario contar con una gestión integral del ciberriesgo que permita identificar, evaluar, cuantificar, analizar, mitigar, transferir y responder antes los diferentes incidentes de ciberseguridad y privacidad”, concluye Fernando Sevillano, Head of Cyber Riks Consulting de Willis Towers Watson Iberia.

Debe siempre tenerse presente que, si tenemos en cuenta las principales causas detrás de los incidentes en la ciberseguridad de las empresas, la mayoría de riesgos podrían reducirse con una mayor cultura de la prevención. Además, la reacción rápida para frenar el ataque y reducir el tiempo de interrupción del negocio, así como minimizar los daños a la reputación de la organización también son clave.

Por si te lo perdiste:

Descarga nuestro informe Ransomware: extorsión, filtraciones y el papel de los seguros.

Deja un comentario

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Tranquil@, tu dirección de email no se publicará

Edición editorial: Juan F.Samaniego

Todo lo que WTW puede ofrecer a tu empresa

Gestión de ciberriesgos

Pide información

Riesgos financieros, ejecutivos y profesionales (Finex)

Pide información

El seguro D&O: protección para directivos y administradores

Pide información

Quizás te interese

Previous Next