fbpx
InicioActualidadEuropa sigue avanzando hacia la resiliencia digital

Europa sigue avanzando hacia la resiliencia digital

Este miércoles y jueves han sido fechas clave para la consolidación de dos de las más importantes normativas que, con aprobación prevista en 2023, están llamadas a convertirse en uno de los grandes pilares de la ciberseguridad en Europa.

Se trata de la Directiva NIS2, de ciberseguridad para aquellas empresas de actividad relevante para el mercado, y del reglamento DORA, sobre la resiliencia de empresas que forman parte del sector financiero.

En cuanto a la primera, ya desde su primer borrador se identificó como una de las principales carencias de la norma el de su corto alcance de aplicación, que se limitó a regular las obligaciones de seguridad para aquellas empresas consideradas como operadores de servicios esenciales, lo que incluye a los operadores críticos, y los proveedores de servicios digitales, dejando fuera a otras corporaciones que, aún a pesar de su alto impacto y de su nivel de exposición a ciberriesgos, no cumplían con los parámetros de la Directiva.

Otro problema tiene que ver con el distinto alcance derivado de una poco homogénea transposición a los ordenamientos internos de los distintos estados miembros, lo que ha planteado ciertas discrepancias operativas, como la relativa a la designación de aquellas entidades calificadas como de esenciales.

¿Qué novedades incorporarán la Directiva y el reglamento DORA?

El nuevo borrador de Directiva establecerá obligaciones de ciberseguridad más estrictas para la gestión de riesgos, las obligaciones de notificación y el intercambio de información. «Los requisitos incluyen la respuesta a incidentes, la seguridad de la cadena de suministro, el cifrado y la divulgación de vulnerabilidades», detalla Francisco Pérez Bes, socio de Derecho Digital en Ecix RegTech.

Además, la nueva norma prevé incluir a un mayor número de empresas de sectores considerados «esenciales», que se amplían a la energía, el transporte, la banca, la salud, la infraestructura digital, la administración pública y los sectores espaciales, añade.

Por su parte, el Reglamento DORA, acordado con los gobiernos de la Unión Europea en mayo de 2022, se aplicará a bancos, proveedores de pagos, proveedores de dinero electrónico, empresas de inversión, proveedores de servicios de criptoactivos, así como a proveedores de servicios de terceros de TIC que están regulados a nivel de la Unión Europea.

Entre sus objetivos está el de armonizar y fortalecer los requisitos de resiliencia operativa digital para el sector de servicios financieros de la Unión. El borrador de norma establece requisitos para proteger, detectar, contener, recuperar y reparar incidentes relacionados con las TIC.

Una vez entren en vigor ambas normas, el escenario de la ciberseguridad cambiará de forma muy relevante, lo que obligará a la mayoría de las grandes compañías a adaptar sus políticas y procedimientos, además de la seguridad de sus sistemas, con tal de adecuarse a las nuevas exigencias de la regulación. «La obtención de certificaciones y la implementación de sistemas de cibercompliance van a resultar soluciones imprescindibles para alcanzar, con éxito, el nivel de ciberresiliencia técnica y de diligencia legal», concluye Pérez Bes.

artículos relacionados

La AEPD lanza una guía sobre el tratamiento de...

La guía de la AEPD establece criterios estrictos para el uso de datos biométricos en control de presencia y acceso, enfatizando la protección de datos personales conforme al RGPD.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí