Las nuevas regulaciones en materia de ciberseguridad llegan en el momento exacto. El contexto geopolítico actual, los pronósticos poco alentadores acerca de la actividad de los ciberdelincuentes y la revolución digital vigente son algunas de las realidades que pedían a gritos un marco regulatorio de ciberseguridad claro y resolutivo. Así lo aseguró el letrado de las Cortes Generales Vicente Moret Millás en el VI Congreso de Auditoría & GRC de Isaca, celebrado el 30 de marzo en Madrid.
Algunas de las normativas que vienen en camino, como la Directiva NIS 2 o el recientemente aprobado Reglamento DORA (Reglamento de Resiliencia Operativa Digital), serán tan efectivas en su lucha contra la ciberdelincuencia como extensas en su contenido. Tanto es así, que según este profesional, ha llegado «el momento de los abogados».
Pilares de las nuevas regulaciones de ciberseguridad
La gran noticia para las empresas, en opinión de Moret, es que por fin se ha llegado a un punto de encuentro entre Estados en la lucha contra el crimen online; sobre todo, en la Unión Europea. La mala es la no menos importante carga de trabajo que las compañías tendrán que asumir para estar al día con las exigencias de las nueves leyes y normativas.
No en vano, para Moret Millás existen una serie de pilares básicos que sustentarán la ola de nuevas regulaciones. El primero de ellos es la proactividad. Las nuevas normativas, en especial la Directiva de Resiliencia de Entidad Críticas, ahondan mucho en la obligatoriedad por parte de las compañías de notificar los incidentes sufridos. Además, en caso de haber frenado un ciberataque potente, las empresas también tendrán que compartir los porqués y cómo del éxito de su defensa por iniciativa propia.
El segundo elemento que destacó el letrado son las sanciones. Dicha normativa incrementa la dureza de los castigos en caso de falta de informes, ciberataques no resueltos, conductas erróneas o exigencias no cumplidas. En la mayoría de casos, las penas serán económicas.
Y el tercero es la propia regulación. El objetivo fundamental del conjunto de directivas y leyes es abarcar todo el espacio posible y no dejar un rincón de la Red sin regular. Ante esta tesitura, las figuras de los consejos de administración y los CISO cobran importancia, pues serán los encargados de hacer a sus compañías cumplir con todas las regulaciones impuestas.
Diseccionando las principales regulaciones
Los grandes cambios vendrán de la mano del Reglamento DORA y la Directiva NIS 2. No obstante, el Reglamento de Inteligencia Artificial, Data Act, eIDAS2 o Data Act son ordenamientos que también tendrán mucho que decir.
Para el experto Vicente Moret, el Reglamento DORA es una de las grandes esperanzas para la Unión Europea en la lucha contra el cibercrimen económico. Según afirma, su entrada en vigor tendrá influencia sobre los sectores bancario y financiero, plataformas de crowfounding, fondos de inversión y compañías de seguros, entre otros.
Entre las grandes medidas de DORA destacan las pruebas de resiliencia, la intervención en la gestión y gobernanaza de las propias compañías y la evaluación de las políticas «propias» que cada empresa pone en marcha en su departamento informático.
En el otro lado de la balanza se encuentra la Directiva NIS 2, que establece nuevas normas y requisitos de seguridad para los proveedores de infraestructuras críticas. De hecho, profundiza en los modelos de gobernanza de las compañías que están fuera de la jurisdicción de DORA. Bajo esta normativa, serán los consejos de administración los que jueguen el papel principal, más aún si cabe.
Archivado en: