El Diario Oficial de la Unión Europea (DOUE) publicó el 27 de diciembre de 2022 la nueva Directiva 2022/2555, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión (comúnmente conocida como NIS2). Esto va a requerir una actualización de la normativa española, actualmente el Real Decreto Ley 12/2018, y el Real Decreto de desarrollo, 43/2021.
A los efectos de garantizar una adecuada gestión de los riesgos de ciberseguridad, esta Directiva introduce una serie de novedades. Paco Pérez Bes, socio de Derecho Digital en EcixGroup, nos da las claves del impacto organizativo que pueden tener los puntos clave de la NIS2 en las empresas.
La responsabilidad de los directivos de las empresas
«El artículo 20.1 de la Directiva NIS2, al regular los aspectos de gobernanza de las entidades afectadas, establece la obligación de que los órganos de dirección (management bodies en su versión en inglés, les organes de direction en su versión en francés, organi di gestione en su versión en italiano, y os órgãos de direção en su versión en portugués) aprueben y supervisen la puesta en práctica de medidas técnicas, operativas y de organización adecuadas y proporcionadas para gestionar los riesgos de ciberseguridad, pero también para prevenir y minimizar las repercusiones de los incidentes en caso de haberse producido, siguiendo el mismo criterio que ya venía haciendo NIS hasta la fecha.
Además de la aprobación y supervisión de las medidas que se implementen, la principal novedad radica en que la norma hace recaer en tales órganos directivos la responsabilidad legal por el incumplimiento de esta obligación.
Con carácter previo, cabe destacar que la Directiva no define qué debe entenderse por «órgano de dirección», por lo que habrá que ver si finalmente se entiende que el alcance de tal responsabilidad se extiende a, como parece, los órganos operativos y de gestión (esto es, los directores) o se restringe al ámbito de los órganos de administración de la compañía. Esta aclaración resulta fundamental para poder determinar el grado de responsabilidad asumible por la compañía.
Obligaciones de formación
«El artículo 20.2 de la Directiva NIS2 prevé obligar a los miembros de los órganos de dirección de las entidades esenciales e importantes a que asistan a formaciones, y a que, periódicamente, ofrezcan formaciones similares a sus empleados.
El objeto de este tipo de formaciones continuadas, lejos de tratar de dar cumplimiento a una obligación puramente formal, es el de que pueda acreditarse que dichas personas adquieren conocimientos y destrezas suficientes que les permitan, de un lado, detectar riesgos y, de otro lado, evaluar las prácticas de gestión de riesgos de ciberseguridad y su repercusión en los servicios proporcionados por la entidad.
Actualmente existen en el mercado soluciones eficaces para poder dar cumplimiento a esta obligación de formación en gestión de ciberriesgos, si bien este punto es uno a los que la Directiva le presta especial importancia, en particular a la vista de las referencias que a la formación y a la ciberhigiene se hace en ella (art. 21) y en el resto de los artículos que se refieren a las estrategias nacionales de ciberseguridad».
Responsabilidad legal por no implementar medidas adecuadas
«El artículo 21 de la Directiva establece la obligación para las empresas de implementar medidas técnicas y organizativas adecuadas y proporcionadas a los riesgos, y que deberán incluir, al menos, una serie de elementos que vienen listados en el apartado 2 de dicho artículo.
A estos efectos, el artículo 21.4 contempla la obligación de regular, en la normativa de trasposición, que cuando se constate que una entidad no cumple con las citadas medidas, se prevean herramientas para obligarle a adoptar, sin demora indebida, todas las medidas correctoras apropiadas y proporcionadas necesarias. En caso de no hacerlo, deberán contemplarse medidas legales para exigirle responsabilidades legales, tanto a los representantes de la entidad infractora como, en determinados supuestos regulados en el compliance, a la propia persona jurídica».
Obligaciones de notificación
«Al igual que ya venía regulando la Directiva NIS, también la notificación de los incidentes tiene un papel clave en la nueva normativa, la cual también recoge la obligación de notificar a su CSIRT de referencia sin demora indebida (sin perjuicio de lo previsto en el apartado 23.4 en cuanto a determinados plazos, destacando el inicial de 24 horas para alertas tempranas), incidentes de seguridad que tengan un impacto significativo. Sin olvidar la eventual obligación de comunicar -en ocasiones- la producción del incidente a los destinatarios de sus servicios.
Con relación a este último supuesto, la Directiva NIS2 refuerza el proceso de notificación del incidente al público. En esta ocasión, el artículo 23.7 de NIS2 prevé que cuando el conocimiento del público sea necesario para evitar un incidente significativo, para hacer frente a un incidente significativo en curso, o cuando la divulgación del incidente significativo redunde en el interés público, tanto el CSIRT (nacional o de terceros estados) como las autoridades competentes, pueden adoptar la iniciativa de proceder a informar al público del incidente (después de consultarlo con la entidad afectada) o, incluso, de exigir a la entidad afectada a que lo haga».
Obligaciones de subsanación
«La nueva Directiva tampoco deja al arbitrio de la entidad afectada la aplicación de medidas de mitigación de los efectos negativos derivados del incidente de seguridad, en la consideración de que este tipo de incidentes no son, simplemente, cuestiones privadas de la organización, sino que exceden del ámbito de la libertad de empresa en la consideración de que se tratan de cuestiones de seguridad nacional y que, por tanto, afectan a todos.
Posiblemente ese sea el motivo por el cual el artículo 32.5 señala que, si las medidas que se adopten resulten ineficaces, la ley nacional deberá garantizar que las autoridades competentes puedan obligar a las empresas a que adopte medidas reactivas eficaces.
En el caso de que la empresa haga caso omiso a tal requerimiento, las autoridades competentes podrán suspender temporalmente o solicitar al organismo de certificación, que suspenda temporalmente un certificado obtenido por la empresa en cuestión. O, incluso, prohibir a una persona a que ejerza su cargo de director general en la empresa hasta que la entidad adopte las medidas exigidas.
Este último punto es especialmente relevante, puesto que tal medida puede llevar al descabezamiento temporal de una empresa esencial o importante, con las consecuencias que puede tener en el negocio. Es más, deberá tenerse en cuenta aquel supuesto en el que el Director General hubiera elevado al Consejo de administración la cuestión de implantación de las medidas correctivas, actuando con la diligencia que se espera de su cargo».
