Este miércoles y jueves han sido fechas clave para la consolidación de dos de las más importantes normativas que, con aprobación prevista en 2023, están llamadas a convertirse en uno de los grandes pilares de la ciberseguridad en Europa.
Se trata de la Directiva NIS2, de ciberseguridad para aquellas empresas de actividad relevante para el mercado, y del reglamento DORA, sobre la resiliencia de empresas que forman parte del sector financiero.
En cuanto a la primera, ya desde su primer borrador se identificó como una de las principales carencias de la norma el de su corto alcance de aplicación, que se limitó a regular las obligaciones de seguridad para aquellas empresas consideradas como operadores de servicios esenciales, lo que incluye a los operadores críticos, y los proveedores de servicios digitales, dejando fuera a otras corporaciones que, aún a pesar de su alto impacto y de su nivel de exposición a ciberriesgos, no cumplían con los parámetros de la Directiva.
Otro problema tiene que ver con el distinto alcance derivado de una poco homogénea transposición a los ordenamientos internos de los distintos estados miembros, lo que ha planteado ciertas discrepancias operativas, como la relativa a la designación de aquellas entidades calificadas como de esenciales.
¿Qué novedades incorporarán la Directiva y el reglamento DORA?
El nuevo borrador de Directiva establecerá obligaciones de ciberseguridad más estrictas para la gestión de riesgos, las obligaciones de notificación y el intercambio de información. «Los requisitos incluyen la respuesta a incidentes, la seguridad de la cadena de suministro, el cifrado y la divulgación de vulnerabilidades», detalla Francisco Pérez Bes, socio de Derecho Digital en Ecix RegTech.
Además, la nueva norma prevé incluir a un mayor número de empresas de sectores considerados «esenciales», que se amplían a la energía, el transporte, la banca, la salud, la infraestructura digital, la administración pública y los sectores espaciales, añade.
Por su parte, el Reglamento DORA, acordado con los gobiernos de la Unión Europea en mayo de 2022, se aplicará a bancos, proveedores de pagos, proveedores de dinero electrónico, empresas de inversión, proveedores de servicios de criptoactivos, así como a proveedores de servicios de terceros de TIC que están regulados a nivel de la Unión Europea.
Entre sus objetivos está el de armonizar y fortalecer los requisitos de resiliencia operativa digital para el sector de servicios financieros de la Unión. El borrador de norma establece requisitos para proteger, detectar, contener, recuperar y reparar incidentes relacionados con las TIC.
Una vez entren en vigor ambas normas, el escenario de la ciberseguridad cambiará de forma muy relevante, lo que obligará a la mayoría de las grandes compañías a adaptar sus políticas y procedimientos, además de la seguridad de sus sistemas, con tal de adecuarse a las nuevas exigencias de la regulación. «La obtención de certificaciones y la implementación de sistemas de cibercompliance van a resultar soluciones imprescindibles para alcanzar, con éxito, el nivel de ciberresiliencia técnica y de diligencia legal», concluye Pérez Bes.
