Algunos desafíos legales en materia de ciberseguridad para 2024
A medida que la tecnología digital avanza y las amenazas cibernéticas se vuelven más sofisticadas y globales, las compañías se preparan para enfrentarse a esos desafíos, también desde la perspectiva del cumplimiento normativo.
La ciberseguridad se ha convertido en un tema de preocupación cada vez más relevante para las empresas en todo el mundo. A medida que la tecnología digital avanza y las amenazas cibernéticas se vuelven más sofisticadas y globales, las compañías se preparan para enfrentarse a esos desafíos, también desde la perspectiva del cumplimiento normativo. Se ha constituido en una de las principales prioridades para los estados como parte integral de la seguridad de sus ciudadanos. Por esta razón, en la Unión Europea (UE), las políticas y estrategias de ciberseguridad mantienen como principal objetivo ayudar a las organizaciones y empresas a mejorar su ciberresiliencia, facilitando la cooperación y los intercambios de información, con el fin último de garantizar una adecuada seguridad en el funcionamiento del mercado único.
Como decimos, la Estrategia de Ciberseguridad de la UE -publicada en el año 2020- ya puso su foco en lograr la prestación de servicios esenciales a los ciudadanos de forma segura y sostenida. Se trataba de proteger al creciente número de dispositivos conectados y de desarrollar capacidades colectivas para contrarrestar los efectos nocivos de potenciales ciberataques mediante el aprovechamiento de los recursos y los conocimientos acumulados en los Estados Miembros.
Desde antes de la adopción de esta Estrategia, la UE ya venía progresivamente adoptando una extensa normativa que, por ejemplo, imponía requisitos específicos a las empresas tanto sobre seguridad de la información como en materia de notificación de brechas de seguridad. Así, el Reglamento General de Protección de Datos de 2016 impuso a las empresas que operan en la UE el deber de implementar aquellas medidas técnicas y organizativas que resulten adecuadas para garantizar la seguridad de los datos personales de los ciudadanos europeos.
También se están imponiendo a las empresas obligaciones en materia de seguridad digital provenientes de textos normativos tan diversos como el (futuro) Reglamento europeo de Inteligencia Artificial, el Real Decreto-ley 7/2022 sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas 5G, o el -todavía en fase de propuesta- Reglamento europeo de Ciberresiliencia que, según la Comisión Europea, se convertirá en la primera legislación en el mundo dirigida a introducir requisitos de ciberseguridad para los fabricantes de equipos y programas de ordenador.
Igualmente, la Directiva NIS 2 -hoy en día pendiente de su transposición en España- constituye una iniciativa europea muy concienzuda que persigue alcanzar un nivel común de ciberseguridad centrado en la colaboración transfronteriza y en la protección de infraestructuras críticas. NIS 2 busca estandarizar las obligaciones relativas a medidas tecnológicas, operativas y organizativas en tres áreas principales: la estrategia y gobernanza cibernética; la detección temprana y gestión de incidentes de seguridad; y la seguridad de las infraestructuras.
A estos mismos objetivos también apunta el Reglamento europeo de Ciberseguridad, pero en este caso, las autoridades europeas han optado por una estrategia de reforzamiento institucional de ENISA (la Agencia de la Unión Europea para la Ciberseguridad) y por la mejora de la cooperación operativa entre Estados Miembros en la UE.
Por otro lado, el renombrado Reglamento europeo sobre Resiliencia Operativa Digital (DORA) se centra principalmente en perseguir la mejora de la resiliencia operativa digital del sector financiero de la UE de forma que pueda resistir, dar respuesta y recuperarse de ciberataques con mayor facilidad. Sin embargo, este Reglamento no sólo afecta a las propias entidades financieras, sino también a aquellas empresas que les prestan servicios tecnológicos esenciales, como pueden ser los servicios de telecomunicación. A estas últimas compañías, el Reglamento le impone obligaciones muy diversas, destinadas también a mejorar las inversiones en ciberseguridad, fortalecer su infraestructura tecnológica y los protocolos de gestión de incidentes y aumentar la colaboración con las autoridades reguladoras, especialmente, a la hora de la notificar incidentes y lidiar con ciberriesgos y ciberamenazas.
En la UE, las políticas y estrategias de ciberseguridad mantienen como principal objetivo ayudar a las organizaciones y empresas a mejorar su ciberresiliencia, facilitando la cooperación y los intercambios de información
En todo caso, resulta conveniente destacar aquí que el incumplimiento de la normativa que se desarrolle -tomando como base tanto la Directiva NIS 2 como las obligaciones contenidas en DORA- resultará en la imposición de multas significativas que variarán en función de las decisiones legislativas de cada Estado Miembro. Incluso las empresas situadas fuera de la UE también deberían plantearse que tanto la Directiva NIS 2 como DORA pueden llegar a tener ciertos efectos extraterritoriales.
Será en los próximos años cuando podamos evaluar con cierta perspectiva el grado de efectividad que esta combinación de obligaciones normativas haya podido tener en relación con el objetivo de garantizar la seguridad, la transparencia y la responsabilidad en la gestión de los sistemas de las empresas. En todo caso, parece previsible que una de las consecuencias más inmediata será un notable incremento de la litigiosidad en asuntos relacionados con la ciberseguridad.
Y en particular, en materia de Seguridad Nacional en España, todas aquellas entidades del sector privado que presten servicios o provean soluciones al sector público se ven afectadas por las obligaciones recogidas en el Esquema Nacional de Seguridad (ENS) y, por tanto, deben certificar su conformidad con este Esquema. La tercera versión del ENS se recoge en el Real Decreto 311/2022, el cual establece que este procedimiento de conformidad se inicia con la adopción de un plan de adecuación. Una vez adoptado, la entidad correspondiente deberá generar un Sistema de Gestión de la Seguridad de la Información, el cual deberá someterse a una auditoría bianual independiente (en el caso de los sistemas de categoría media y alta) que verifique el cumplimiento de los requisitos exigidos.
Durante la vida de la certificación o declaración de conformidad, las entidades estarán obligadas a informar periódicamente sobre el estado de la seguridad de sus sistemas, así como a aplicar medidas de vigilancia y mejora continua. Con el fin de lograr una comprensión más detallada de estos requisitos, resulta de especial utilidad el análisis de las Guías del Centro Criptológico Nacional-STIC Serie 800.
Ya en el capítulo de la ciberseguridad de las Infraestructuras Críticas en España, tanto la Ley 8/2011 como el Reglamento de Protección de Infraestructuras Críticas siguen vigentes, aunque, ciertamente, se verán afectados por los contenidos de la norma que transpondrá la Directiva europea 2022/2557 relativa a la resiliencia de las entidades críticas.
Y de cara al futuro más lejano, además de los desafíos legales a los que estamos apuntando, las empresas no deben perder de vista las nuevas tendencias tecnológicas como forma de protección frente a ciber ataques. Así, a modo de ejemplo, la inteligencia artificial (IA) y el aprendizaje automático presentan una evidente capacidad de ayudar a las empresas a detectar y prevenir ataques cibernéticos de forma eficaz. Sin embargo, su utilización resulta de todo punto incompatible con la posibilidad de plantear riesgos que afecten a la protección de la intimidad de los ciudadanos.
En el campo de la informática cuántica, también se siguen produciendo importantes avances, lo que con certeza dará lugar a un aumento de la potencia informática de las herramientas tecnológicas disponibles en la actualidad e incluso, como consecuencia, puede también provocar un replanteamiento de los actuales fundamentos tecnológicos básicos en el campo de la ciberseguridad. Se espera que los ordenadores cuánticos sean lo suficientemente potentes como para desentrañar con facilidad las técnicas de cifrado que hoy en día utilizamos para transmitir y almacenar datos de forma segura o para gestionar sistemas de acceso y autorización. Algunos expertos informáticos ya hablan del "día Q" como el momento en el que la informática cuántica nos obligará a reexaminar la ciberseguridad actual basada en métodos de cifrado de clave pública y técnicas de cifrado asimétrico.
Aunque la mayoría de los expertos predicen que este proceso todavía necesita algunos años para que llegue a materializarse, ya se están desarrollando por parte de organizaciones como el Instituto Nacional de Estándares y Tecnología de Estados Unidos nuevas normas de cifrado postcuántico para la ciberseguridad, cuyos primeros borradores se publicaron en agosto de 2023. También el Centro Nacional de Seguridad Cibernética del Reino Unido se ha apuntado a esta tendencia y publicó una guía en noviembre de 2023 sobre la migración de los sistemas tecnológicos de las empresas al cifrado post-cuántico. Sea cuando sea que el "día Q" se plantee, nos veremos también obligados a actualizar el sistema de cumplimiento de las obligaciones normativas en materia de seguridad, tanto de la propia información como de las redes que se utilizan para su transmisión.
Por todas estas razones, las empresas ya dedican importantes recursos humanos y económicos para enfrentarse de forma efectiva a los desafíos tecnológicos, al mismo tiempo que se afanan en el cumplimiento de la (creciente) normativa en materia de ciberseguridad. Solamente mediante la aplicación de metodologías integradoras que abarquen al mismo tiempo a las disciplinas de la ciberseguridad y del cumplimiento normativo, las empresas -y, como consecuencia, los estados- podrán protegerse adecuadamente de las posibles ciber-amenazas y garantizar la seguridad de su información y la de sus ciudadanos. En beneficio de todos.
Este artículo ha sido escrito por Rafael García del Poyo, partner y director del departamento de TI/IP de Osborne Clarke.
