Otros asuntos de indudable relevancia habrán ocupado el calendario legislativo español, de manera que el 17 de octubre ha pasado sin que se pudiera transponer a la legislación española una directiva europea sobre ciberseguridad que debería ser de obligado cumplimiento a partir de esa fecha. La norma, conocida como NIS2 (Network and Information Services) actualiza la anterior o NIS1, que amplía su alcance. Ha de tenerse en cuenta que España no es un caso aislado: sólo seis de los veintisiete estados miembros de la UE han cumplido con el plazo. Si se piensa un poco más, el retraso legislativo seria casi lo de menos, al lado del mediocre diagnostico que merece la preparación de las empresas.
Edwin Weijdema
El progreso hacia la implementación de NIS2 ha sido dispar entre países y entre sectores empresariales. La compañía Veeam, gran especialista en la resiliencia de los datos ha revelado que dos de cada tres empresas europeas (68%) tendrán que habilitar presupuestos adicionales para atender los requerimientos de esta directiva comunitaria, mientras el 95% declara que ya ha tenido que detraer recursos de otras funciones para asignarlos al coste de cumplir con la saga NIS.
“Ante la escalada de ciberamenazas – advierte Edwin Weijdema, CTO de Veeam para Europa – los lideres empresariales no deberían subestimar la importancia de lo que está en juego; el impacto que su incumplimiento podría tener en las operaciones y, en caso de incidencia, incluso en su equilibrio financiero”. Además, claro está, de las consecuencias individuales que podría acarrear a los directivos, a quienes la NIS2 considera personalmente responsables y por consiguiente punibles con sanciones que, en los casos más graves, podrían llegar a la prohibición de ocupar puestos de dirección en empresas reguladas.
Tras redundar en el tópico corriente de que los datos son el alma de las empresas, Weijdema lleva el agua a su molino: “el cumplimiento por sí solo no garantiza una seguridad completa, que requiere implantar prácticas proactivas contra las vulnerabilidades”. Pero el informe de Veeam es muy explicito: desde enero de 2023, cuando quedó cerrado el acuerdo político acerca de NIS2, el 40% de las empresas consultadas han recortado ese capítulo presupuestario.
En opinión de Weijdema, “acertar con un presupuesto para ciberseguridad es a menudo un reto para los directivos de TI, pero tal vez las penalizaciones y el énfasis de NIS2 en la rendición de cuentas puedan corregir ese estado de cosas. Sin embargo, lo que vemos en este momento es que muchos de los presupuestos han sido recortados o se mantienen estancados en valores anteriores, con el pretexto de la inflación”.
La directiva NIS2, aprobada por el Parlamento Europeo a finales de 2022 y que adquirió vigencia formal en 2023, es parte del paquete desde el año pasado de las medidas diseñado por la Comisión Europea en materia de seguridad de las redes y los datos. Por lo tanto, ha habido tiempo suficiente para preparar su implementación, pero un mes antes del plazo sólo Bélgica, Croacia, Hungría, Italia, Letonia y Lituania la habían transpuesto a sus legislaciones nacionales. En el polo opuesto, Portugal inició un proceso de consulta pública a último momento; Estonia – pese a su reputación de ser un estado digitalizado – ni siquiera lo había iniciado.
Comparada con la directiva original, de 2018, esta segunda versión expande el ámbito de aplicación a todas las empresas con más de 50 empleados en una lista ampliada de sectores a los que clasifica como críticos, esenciales o importantes en una escala de relevancia económica y social. Entre esos sectores, aparecen por primera vez las administraciones públicas, que no figuraban en la NIS1.
Las organizaciones etiquetadas como críticas siguen definidas – como en la versión anterior – por tener más de 250 empleados y facturar al menos 50 millones de euros. Los operadores de infraestructura, proveedores de servicios digitales, compañías espaciales, el sector postal y ciertas ramas industriales son clasificados como esenciales a la vez que se reserva la categoría de importantes para el tramo de 10 millones de euros como mínimo.
De otro lado, las obligaciones incluyen la de reportar todo incidente dentro de las 24 horas de conocido y presentar un informe de resolución antes de un mes, así como la de auditar con carácter permanente y revisable las cadenas de suministro de TI. En cuanto al reparto de las responsabilidades, se señala específicamente a los “órganos de gestión” de las empresas reguladas. Sus directivos están obligados a recibir formación acerca de los riesgos de seguridad y a rendir cuentas acerca de las medidas tomadas y del no cumplimiento de la NIS2, si fuera el caso.
Dado el alto número de ciberataques que sufren los proveedores de servicio, la norma europea estipula que deben reforzar las cadenas de suministro de las TI, cláusula que sugiere miedo a que se multipliquen las intrusiones de potencias no comunitarias. Cuando una empresa evalúe la idoneidad de sus políticas de seguridad, deberá tomar en cuenta las vulnerabilidades asociadas con cada servicio y con cada proveedor, de cara a identificarlos en los reportes de incidencias.
La NIS2 establecer como receptora de toda información sobre las amenazas cibernéticas a ENISA en su condición de agencia europea competente en la materia. En espera de su transposición, no puede decirse que España esté desguarnecida. Acorde con el Esquema Nacional de Seguridad , el estado cuenta con cuatro estructuras comparten funciones de respuesta a incidentes de ciberseguridad: CNN-CERT (Centro Criptológico Nacional), INCIBE-CERT y ESPDEF-CERT (ambas adscritas al ministerio de Defensa) y la Oficina de Coordinación de Seguridad del ministerio del Interior.
Tal como es habitual en otras regulaciones europeas recientes que han roto moldes, la NIS2 tiene un rasgo de extraterritorialidad. Son sujetos de la norma las empresas que, aun no siendo comunitarias, presten servicios dentro de un país de la Unión Europea. Gil Vega, vicepresidente de Veeam, aporta este sagaz comentario: “Estados Unidos suele seguir el ejemplo de Europa en la adopción de regulaciones de ciberseguridad. Dadas la naturaleza global de las amenazas y la creciente interconexión de las infraestructuras críticas, podemos esperar la implementación de medidas inspiradas en la NIS2 en el plazo de dos a cinco años”.