PROTEGEMOS TU EMPRESA DE LAS AMENAZAS ACTUALES
Durante años, muchas empresas han vivido despreocupadas de la ciberseguridad. Para ellas, los riesgos presentes en la red no son importantes. Sin embargo, a medida que avanzan los tiempos van surgiendo normativas de distinta índole que están cambiando las reglas. La ciberseguridad se está convirtiendo en una obligación legal.
El Reglamento General de Protección de Datos (RGPD) fue la primera piedra de este proceso de cambio. Esta normativa europea empezó a obligar a las empresas que manejan datos personales a garantizar la seguridad y privacidad de los mismos.
Desde que se promulgara en 2018, dicha norma se ha ido actualizando y complementando con otras directrices europeas como NIS2, DORA, CRA o CER.
La NIS2 es la actualización de la NIS (Directiva sobre seguridad de las redes y los sistemas informáticos). El objetivo de esta normativa en ciberseguridad es armonizar las medidas y enfoques en ciberseguridad de los estados miembros de la Unión Europea y mejorar la protección de las entidades esenciales más importantes.
En su artículo 21 de la NIS2 se contemplan las siguientes obligaciones, que afectan a todas las empresas que pertenecen a “sectores esenciales e importantes”:
Esta norma entró en vigor en 2023 y estaba previsto que los países miembros la incorporasen a su marco legislativo antes de octubre de 2024. En España, esta directriz se transpone en la Ley de Coordinación y Gobernanza de la Ciberseguridad. Esta norma española se encuentra en estado de anteproyecto, por lo que antes o después verá la luz, trasladando todas estas obligaciones a las empresas españolas.
No debemos confundir la NIS2 con la CER o Directiva 2022/2557. Mientras la primera impone unos requisitos exhaustivos, la segunda se centra en garantizar unas medidas específicas que permitan que los sectores críticos puedan continuar con su actividad sin interrupciones.
Entre las obligaciones contempladas en la CER se encuentra la de notificar todos los incidentes que sufra la empresa que puedan perturbar la prestación de servicios esenciales. Las empresas deben presentar dos notificaciones: una inicial pasadas menos de 24 horas y una final con un informe detallado con el número y porcentaje de usuarios afectados, la duración de la perturbación y la zona geográfica, antes de un mes de la detección del accidente.
La DORA o
Esta directriz entró en vigor el 16 de enero de 2023 y debía ser transpuesta por los países miembros antes de enero de 2025. Como en el caso de la NIS2, en España todavía no se ha adaptado el marco normativo para la implementación de esta norma, pero las empresas deben ir preparándose para ella.
Esta norma europea nace en el año 2024 a raíz del aumento del teletrabajo y del número de dispositivos conectados a la red, de la consolidación tecnológica y de una mayor digitalización tecnológica de los sectores más tradicionales.
En el Cyber Resilience Act se describen los requisitos de ciberseguridad para productos de hardware y software con componentes digitales que se quieran comercializar en la Unión Europea. Para ello, obliga a certificar la seguridad de los productos antes de que salgan al mercado.
De esta forma, se pretende abordar la falta de actualizaciones para solventar las vulnerabilidades en los productos digitales y la falta de conocimiento de los usuarios, que no saben en qué fijarse a la hora de elegir un producto digital y cómo usar los productos de forma segura.