Las nuevas obligaciones y sanciones corporativas de la Directiva NIS-2
Será obligatoria a partir de 2024 para empresas de más de 250 empleados y con una facturación de 50 millones de euros
“En la vida hay dos tipos de personas: los que dan guerra y los que ganan guerras". Así dice mi gran maestra -mi madre-, mujer guerrera y siempre imitable.
En este caso, comienza un año con previsiones importantes de ciberataques como uno de los principales riesgos para las empresas. Prueba de ello es el quinto puesto que ocupó España en el ranking de países más cibertacados en el último trimestre del año pasado, según el informe de la empresa Surfshark. Por lo tanto, la ciberseguridad se convierte en una inversión no sólo reactiva, sino más bien proactiva, es decir, hay que adelantarse al ataque. De esta manera, este tipo de riesgo se termina convirtiendo en una gran oportunidad vertebradora de crecimiento corporativo sostenido. La seguridad del siglo XXI se llama, por lo tanto, ciberseguridad.
Con este objetivo se aprobó el mes pasado la Directiva NIS-2. Será de obligado cumplimiento a partir del 15 de octubre de 2024 para empresas de más de 250 empleados y con un volumen de facturación anual de 50 millones de euros en adelante. A su vez, también estarán obligadas a su cumplimiento “ aquellas empresas, medianas y grandes, que operen en los sectores o presten servicios cubiertos por la directiva “.
Eso sí, incluye novedades muy imponentes en el ámbito de la responsabilidad legal en caso de ciberataque. Será el mismo consejo de administración el directamente responsable del daño. Por ello, sí será de aplicación la "culpa in vigilando", a diferencia de la anterior directiva que eximía de posible responsabilidad a la empresa por el mero hecho de tener un plan de contingencia activado en caso de ciberataque.
Con esta nueva Directiva NIS-2, no sólo será suficiente tener una planificación previa. Se exigirá que se haga funcionar de forma eficaz dicho plan, es decir, de una forma proactiva y no meramente reactiva. A su vez, será cada Estado el autorizado para establecer las sanciones respectivas que deberán ser "eficaces, proporcionadas y disuasorias".
En este sentido, entiende la directiva que deberán constituirse en “sanciones eficaces, que sean fundamentales para garantizar el cumplimiento efectivo de dichas obligaciones", es decir, no sólo económicas, sino incluso de ámbito práctico, como la suspensión temporal de la prestación de ese servicio a la empresa incumplidora o la imposibilidad de que determinada persona física ostente un determinado cargo o rango en el consejo de administración incumplidor. Hablamos, por lo tanto, de sanciones muy importantes y muy polivalentes.
Además, será el mismo consejo de administración el encargado de cumplir y hacer cumplir dichas obligaciones legales. Por lo tanto, asumen un papel muy operativo y de absoluta responsabilidad. De ahí la importancia de la incorporación de la ISO 31022 sobre Gestión de Riesgos Legales, aportando el valor de la seguridad operacional como un gran propiciador del nacimiento de futuros contratos.
Por ello, si en nuestro imaginario colectivo tenemos claro aquello de que "los malos siempre van un paso por delante", nuestro objetivo tiene que ser acortar esa distancia hasta hacerla inexistente.Y es ahí donde la nueva directiva golpea más fuerte, pues establece con claridad meridiana que la responsabilidad de protección y defensa de la organización recae directamente sobre los órganos de dirección.
Por lo tanto, directivos y cargos técnicos, entre ellos CISOs y DPOs, deberán aunar esfuerzos para alinear los objetivos de negocio con los objetivos de seguridad y defensa de los sistemas y la información. De hecho, mantener ese equilibrio empieza a ser uno de los principales retos en cualquier organización. Esto conlleva principalmente la introducción de cambios en la gobernanza ya que es necesario dotar de mayor capacidad de decisión a los perfiles más técnicos. Esto supone que formen parte activa de los órganos de dirección. A ellos también se les va a exigir una visión tan estratégica como técnica, pues en los objetivos de seguridad y defensa tienen que estar presentes los objetivos de negocio.
Además, en el desarrollo de un nuevo marco de gestión del riesgo cibernético hay que poner el foco en la cadena de suministro. Se debe crear un inventario de proveedores, tecnológicos y no tecnológicos, y ser más diligentes a la hora de exigirles calidad y cumplimiento vinculado a los controles y procesos de los servicios contratados. De la misma forma, es necesario obtener evidencias demostrables de que dichos controles se aplican correctamente.
Estos días en los que el mercado asegurador debate sobre las dificultades de aseguramiento del riesgo cibernético, por ser considerado ya sistémico, no debemos olvidar que éste es un riesgo que solo puede provocar el hombre. No podemos predecir los próximos huracanes ni evitar los próximos terremotos, pero sí podemos prevenir y minimizar un ciberataque. Justamente la aplicación de NIS 2 nos ayuda a conseguir un grado de control del riesgo que no podemos aplicar a otros riesgos sujetos al más puro azar.
En definitiva, hagamos de la vulnerabilidad, fortaleza; de la adversidad, una gran oportunidad, tanto de crecimiento como de sostenimiento. Los ciberataques serán un riesgo diario corporativo con el que convivir y no sólo sobrevivir. Por lo tanto, ganemos guerras y no demos tanta guerra.
Carmen Segovia Blázquez, directora Ciberriesgos en Willis Towers Watson; y Pedro Fernández-Villamea Alemán, responsable Legal & Compliance Grupo Gees-Spain y asesor en Estrategia Corporativa