La aprobación de la Directiva NIS, junto al Real Decreto-Ley 12/2018 de seguridad de las redes y sistemas de información, que busca poner freno a ciberataques de los que ya son susceptibles todas las empresas y establece sanciones a quienes no adapten las medidas necesarias, es un primer intento de convertir la ciberseguridad en un sector de actividad casi completamente regulado. Con estas normas “ha nacido el compliance sobre ciberseguidad” y, aunque necesitamos avanzar más porque los riesgos actuales no se limitan con una sola normal, éste es un primer paso en el que se ha implicado la UE y que permite paliar posibles grandes problemas.

Así se pronunció el Letrado de Cortes y de la Comisión de Seguridad Nacional Vicente Moret durante la jornada sobre Nuevas obligaciones legales y sanciones en materia de ciberseguridad que organizó Andersen Tax & Legal en Madrid y en la que también participaron Isabel Martínez Moriel, Directora del área de Privacy, IT & Digital Business de Andersen Tax & Legal, y José Miguel Soriano, Socio de la firma.

José Miguel Soriano destacó que Real Decreto-ley 12/2018 aprobado por el Gobierno plantea una serie de obligaciones legales para empresas de sectores estratégicos como son suministradores de luz, agua, energía, alimentación, IT, salud, transporte, entre otros, que utilicen el sistema red de internet para la prestación de servicios y en breve será aplicable a todos los sectores.

En este punto, el Letrado de Cortes Vicente Moret especificó el ámbito de aplicación de la norma, que incluye, por un lado, a operadores de servicios esenciales que son necesarios para el mantenimiento de las funciones sociales básicas, como salud, seguridad, bienestar social y económico y necesitan de redes y sistemas de información para el desarrollo de sus servicios. Por otro lado, dijo, se aplica a proveedores de servicios digitales e incluye a todos los agentes, cuyas obligaciones se limitan a comunicar que se dedican a esta actividad, excepto si la Administración decide que debe hacer una investigación concreta respecto a un incidente.

Según indicó, el Real Decreto conecta los sectores estratégicos definidos en la norma de 2011 sobre protección de infraestructuras críticas, con las empresas específicas que están dentro del ámbito de aplicación a través de los servicios sometidos, con la exención de microempresas y pequeñas empresas.

Moret recalcó que la norma, que está en el punto de partida y se irá desarrollando para adaptarla a nuevos avances, contempla un sistema de acreditación que permite eximir de responsabilidad a empresas que se adaptan a los estándares que marca la administración, por lo que insistió en la importancia del sistema de compliance que muestra la predisposición de las empresas a evitar riesgos.

Vicente Moret también analizó el régimen sancionador que prevé el Real Decreto, que se basa en los principios de legalidad, tipicidad y proporcionalidad. Así, especificó que los delitos muy graves –como no subsanar las deficiencias detectadas, incumplimiento reiterado de la obligación de notificar incidentes o no acudir al CSIRT (Computer Security Incident Response Team) del Instituto Nacional de Ciberseguridad (INCIBE) cuando el incidente tenga efecto perturbador- varían entre 500.000 y un millón de euros, los graves oscilan entre los 100.000 y 500.000 euros, mientras que los leves podrían suponer una amonestación o multa de hasta 100.000 euros.

El Letrado de Cortes indicó que España no ha tenido muchos recursos para invertir en ciberseguridad, pero ha sido eficiente ya que se sitúa en el puesto 16 de los países más ciberseguros del mundo. Así, insistió en la importancia de seguir trabajando en este sector, que en nuestro país crea 120.000 empleos al año, no solo en el ámbito de la tecnología, y es un mercado que puede generar hasta 250.000 millones de euros de crecimiento adicional en los próximos 5 años.

Por su parte, la Directora del área de Privacy, IT & Digital Business de Andersen Tax & Legal recordó que todas las empresas están expuestas a sufrir un ciberataque, como accesos no autorizados, divulgación o destrucción de documentación no autorizado, entre otros. En este punto, sostuvo que entre los incidentes de seguridad de información hay que distinguir si afecta o no a datos de carácter personal, ya que en ese caso existen obligaciones añadidas para la empresa.

A su juicio, todas las empresas deberían adoptar determinadas medidas preventivas porque la mayoría de ellas, incluidas las pequeñas, trabajan con comercio electrónico o actividad o servicio ofrecido a través de la red, y, por lo tanto, es importante que vayan profesionalizando sus servicios de seguridad.

En este sentido, Isabel Martínez Moriel aseguró que una forma de minimizar un incidente es adoptar medidas preventivas, como formación, ya que en ocasiones un problema no viene determinado por un ataque externo sino por un mal uso interno, el registro de incidentes para evaluar, analizar y tomar medidas para el futuro, o tener una responsabilidad proativa.

Así, instó a las empresas a establecer un plan de respuesta de incidentes, que permite tener el proceso protocolizado, con el contenido mínimo de notificación estructurado y el procedimiento a seguir, y poner en marcha actividades complementarias como el análisis preliminar de riesgos, programas de formación y plan de pruebas para la revisión con el fin de testar si las medidas adoptadas funcionan en base a pequeñas amenazas que hayan sido detectadas.