El Consejo de la Unión Europea ha cambiado radicalmente el contexto regulador de la ciberseguridad en la Unión Europea. La aprobación el pasado lunes del Reglamento sobre Resiliencia Operativa Digital (DORA), que regulará la ciberseguridad de las entidades financieras, y de la Directiva NIS 2, que regulará la ciberseguridad de los operadores esenciales e importantes, marca un antes y un después en esta materia. La Unión Europea se adelanta así a otros actores en cuanto a la actualización de un marco normativo que impone obligaciones a los actores públicos y privados responsables de prestar servicios esenciales. Todo ello en un momento y un contexto especialmente complicados para la gestión de la seguridad digital a nivel global, ya que se ha producido un aumento del nivel de amenaza procedente del ciberespacio.

DORA es la iniciativa aprobada más relevante. La Unión procede a regular mediante un Reglamento europeo, que es el acto jurídico de mayor calado legal al tener alcance general, ser obligatorio en todos sus elementos y directamente aplicable en todos los Estados miembros sin necesidad de trasposición a la legislación nacional. La utilización del reglamento en este caso es, sin duda, un elemento nuevo y muy relevante que se apoya en la competencia de la UE en materia de mercado único digital y asegura un marco jurídico único, uniforme y coherente en todo el territorio comunitario. Por su parte, la Directiva NIS 2 sustituye a la aprobada en el año 2016. Se trata de una iniciativa igualmente importante, ya que afecta a un amplio espectro de empresas que son operadoras de servicios esenciales en sectores como energía, telecomunicaciones, agua, sanidad, farmacéutico, agroalimentario, transportes o Administraciones Públicas, entre otros.

Son muchas las novedades que incluyen DORA y NIS 2; imposible resumirlas en estas líneas, pero sí conviene resaltar algunas claves básicas. En primer lugar, la idea central que se asienta es la de la necesidad de gestionar el riesgo tecnológico de manera proporcional al tipo de sujeto obligado. Además, se crea un amplio catálogo de obligaciones en cuanto a la forma de gobernar internamente la ciberseguridad. Ello debe suponer un cambio en cuanto a la organización, responsabilidades, normas internas y protocolos. Es importante resaltar que ambas normas colocan explícitamente al consejo de administración como máximo responsable y motor impulsor de estos cambios, regulando de forma muy detallada ese nuevo rol, especialmente en el caso de DORA, cuyo ámbito de aplicación es muy amplio: bancos, aseguradoras, servicios de pago, fondos de inversión e, incluso, proveedores de servicios de criptoactivos, entre otros.

Toda compañía que esté incluida en alguno de los ámbitos de aplicación deberá determinar su nivel de sometimiento a ambas normas, teniendo en cuenta que con carácter general y salvo excepciones serán sujetos obligados las compañías más grandes que una pyme según la definición de la normativa europea; es decir, 250 trabajadores y 50 millones de euros de volumen de negocio anual.

Poderes de control

Por otra parte, ambas normativas refuerzan los poderes de las autoridades en cuanto al control del cumplimiento, elevando el importe de las sanciones posibles y aumentado las herramientas de intervención. Así mismo, se refuerzan las obligaciones de notificación de ciberincidentes, y las medidas a aplicar con respecto al riesgo procedente de los terceros suministradores. También se amplían los mecanismos de colaboración para compartir información e inteligencia de amenazas, y la necesidad de avanzar en el ámbito de la certificación de productos y servicios.

Ambas normas dan cumplimiento a las prioridades estratégicas marcadas por la Comisión Europea en el año 2020, cuya ejecución se verá completada en breve con la aprobación de la Directiva sobre la Resiliencia de las Entidades Críticas, y más tarde con la Cyber resilience Act.

No obstante, los cambios no se pueden reducir a contemplar estas obligaciones como una simple carga de compliance adicional. Se trata de algo más relevante y estratégico para cualquier compañía que quiera abordar con éxito procesos de transformación digital. El nuevo marco regulatorio puede generar nuevas oportunidades de creación de valor. Las empresas que lo sepan entender así dispondrán de ventaja competitiva, ya que la ciberseguridad puede ser una palanca poderosa de transformación digital y de negocio en el contexto que estamos viviendo de profunda y acelerada disrupción digital.

La ciberseguridad total es difícil de alcanzar, ya que nadie puede darla por garantizada. Pero eso no significa que todos, empresas, ciudadanos y poderes públicos, debamos hacer todo lo posible por mejorarla. De ello depende que esta maravillosa realidad que ha cambiado nuestras vidas, un ciberespacio libre y abierto, siga proporcionándonos un horizonte inabarcable de generación de oportunidades, actividad social y económica, y, en definitiva, de mejora de la vida de las personas.

Puede leer el artículo completo en Expansión.