Nueva Directiva Europea de Ciberseguridad, el reto de los líderes
Para el 17 de octubre de 2024, los Estados miembros de la Unión Europea (UE) deberán transponer a la legislación nacional la nueva Directiva NIS que refleja mayores obligaciones para los Estados, las Entidades Esenciales (antes denominadas Operadores) y la administración Central y Local. Entre las novedades se encuentran multas de hasta diez millones de euros o el 2% de la facturación, y la rendición de cuentas directa de la alta dirección de las organizaciones.
También se identificaron un conjunto de lecciones aprendidas sobre las ineficiencias de la directiva anterior, y se intentó corregir las disparidades identificadas en la transposición a la legislación nacional de los estados miembros.
Los cambios se producen seis años después de la publicación de la primera Directiva, en un momento en que el informe publicado recientemente por el Observatorio de Ciberseguridad sobre el panorama de la ciberseguridad en Portugal en 2022 presenta algunas mejoras en términos de concienciación y educación, y la adopción de más medidas de seguridad. en el ámbito de las TIC, y algunos puntos negativos como la reducción del número de estrategias de seguridad de la información en la Administración Pública.
Sin desvalorizar nunca lo bueno que se hace con mucho esfuerzo, estos logros no son suficientes para hacer frente a la rápida evolución del entorno de amenazas. En Portugal, la profusión de ciberataques en 2022 (los que se hicieron de conocimiento público) fue histórica y obligó a la alta dirección de las organizaciones públicas y privadas a dar más importancia a este tema.
Sin embargo, la implicación de la alta dirección no siempre se corresponde con un compromiso con una estrategia y un plan de medio-largo plazo, ni con una adecuada formación en riesgos, priorización de inversiones y, sobre todo, una oportuna toma de decisiones que sólo la dirección puede superar. llevar.
Por lo tanto, la forma pragmática y asertiva en que la Directiva introduce obligaciones para la alta dirección, así como formas de rendición de cuentas, es muy relevante.
Los órganos de administración serán los encargados de aprobar las medidas de gestión de riesgos y supervisar su aplicación, pudiendo ser considerados responsables de las infracciones cometidas.
La Directiva llega incluso a definir una lista de diez requisitos mínimos relativos a estas medidas.
Estas demandas requerirán un mayor nivel de compromiso por parte de los líderes de las organizaciones que hasta ahora y, por lo tanto, no es de extrañar que la Directiva establezca que los miembros de los órganos de alta dirección “están obligados a asistir a sesiones de formación” dentro de la ámbito de la gestión de riesgos de ciberseguridad y que acciones formativas similares deben ser “realizadas periódicamente para sus trabajadores”.
Junto a estas medidas, existen también otras que fortalecen las facultades y capacidades de las autoridades competentes, muy enfocadas a la supervisión y disuasión.
En materia de supervisión, podemos destacar las inspecciones in situ, las auditorías periódicas de seguridad, pero es a nivel de los poderes disuasorios donde surgen las mayores sorpresas, concretamente en los casos de incumplimiento de las instrucciones previstas en los avisos y/u órdenes. relativas a auditorías, medidas de seguridad y notificaciones obligatorias.
En caso de estos incumplimientos y como último recurso, las autoridades competentes tendrán la facultad de ordenar o solicitar judicialmente la suspensión temporal de parte o la totalidad de las actividades de las entidades esenciales.
Adicionalmente, las autoridades competentes tendrán la facultad de “Solicitar a los órganos o tribunales competentes (…) prohibir temporalmente que cualquier persona física con responsabilidades de dirección a nivel de dirección ejecutiva o representación legal ejerza funciones de dirección en esa entidad esencial”.
Seis años después de la Directiva NIS, el desafío del legislador se dirige directamente al liderazgo de las organizaciones públicas y privadas que aseguran la prestación de servicios esenciales e importantes para la vida en sociedad y el funcionamiento regular de las instituciones.
Sin embargo, el camino hacia el 17 de octubre de 2024 no será fácil ni indoloro, y las organizaciones están a un presupuesto de lograr el cumplimiento oportuno.
Por un lado, es muy probable que los líderes se enfrenten a la necesidad de revisar decisiones tomadas en el pasado, y se espera que la complejidad de los temas provoque una sensación de sobrecarga. Por otro lado, las exigencias financieras y organizativas serán altas. Sin embargo, admito que el mayor desafío estará relacionado con un recurso igualmente escaso para los líderes organizacionales: su tiempo.
Entonces, ¿cuáles serían los primeros pasos que podrían tomar los líderes?
Aquí hay algunas sugerencias para triunfos rápidos:
– Valide con la CNCS si se espera que su organización sea identificada como una entidad esencial o una entidad importante bajo la directiva (ver lista de sectores en el Anexo I de la Directiva).
– Revisar la estrategia de ciberseguridad existente y verificar que el plan de inversiones garantice el cumplimiento al 17 de octubre de 2024.
– Aprobar y supervisar la implantación de las medidas técnicas, operativas y organizativas adecuadas y proporcionadas para garantizar un nivel de seguridad de las redes y sistemas de información adecuado a los riesgos planteados.
– Implementar los cambios de gobierno interno necesarios para reflejar el papel central y transversal de la ciberseguridad, asegurando el reporte directo a los órganos de dirección
– Consultar al CISO para identificar capacitación en ciberseguridad, incluida la gestión de riesgos, para desarrollar la capacidad de los órganos de gestión.
– Velar por que se den las condiciones para el cumplimiento oportuno de las obligaciones de información establecidas por la directiva.
El 2023 se abre por tanto con nuevos retos para los líderes de la ciberseguridad que, ahora, además de dar respuesta a las crecientes amenazas del ciberdelito, también tienen que dar respuesta a las crecientes exigencias del legislador.
function facebookInit() { var js = document.createElement('script'); js.src="https://connect.facebook.net/pt_PT/sdk.js#xfbml=1&version=v3.1&appId=1708066812789184&autoLogAppEvents=1"; return document.body.appendChild(js); }
window.onscroll = function () { var rect = document.getElementsByClassName('je-post-content')[0].getBoundingClientRect(); if (rect.bottom < window.innerHeight) { facebookInit(); window.onscroll = null; } }