En este artículo Francisco Pérez Bes, abogado y socio de Derecho Digital en ECIX Tech participa como «autor invitado» en nuestro blog para dar a conocer los retos del sector de la ciberseguridad de las entidades del sector financiero tras la publicación en el Diario Oficial de la Unión Europea (DOUE) de un Reglamento Delegado que desarrolla algunos aspectos del reglamento DORA, de obligado cumplimiento para todos los Estodos miembros.
Por todos es sabido que uno de los principales aspectos que más sufre cuando una empresa es víctima de un ciberataque, es su reputación.
En efecto, este riesgo reputacional al que se enfrenta cualquier compañía consiste en una potencial pérdida de confianza que puede provocar, en particular entre los clientes e inversores de la entidad, un incidente de seguridad que haya puesto en peligro el dinero o los datos de las personas.
Esto se debe a que las medidas de seguridad implementadas por la entidad se han visto superadas por un ciberataque, los cuales cada vez son más numerosos y sofisticados. Esta circunstancia puede crear dudas en el mercado acerca de la eficacia de la ciberseguridad de la compañía. Sin embargo, eso no necesariamente significa que la entidad haya actuado de manera negligente.
No obstante, en algunas investigaciones ya se ha confirmado que un ciberataque, una vez difundido en prensa, provoca fluctuaciones del valor de cotización de las acciones de la compañía ciberatacada, debido -principalmente- a esta pérdida temporal de confianza del mercado, donde los inversores esperan una gestión reputacional acertada.
Con respecto a la ciberseguridad de las entidades del sector financiero (incluyendo empresas de inversión y compañías del sector asegurador, entre otras), la Comisión Europea publicó, en diciembre de 2022, una normativa específica para garantizar la resiliencia del sector financiero. Esta norma, recordemos, tenía forma de Reglamento y es comúnmente conocido como Reglamento DORA.
Más recientemente, esto es, el pasado 25 de junio de 2024, se publicó en el Diario Oficial de la Unión Europea (DOUE), un Reglamento Delegado que desarrolla algunos aspectos de DORA. En efecto, nos referimos al Reglamento 2024/1772 de la Comisión, de 13 de marzo de 2024, lleva por título “por el que se completa el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo mediante normas técnicas de regulación que especifican los criterios para la clasificación de los incidentes relacionados con las TIC y las ciberamenazas, establecen umbrales de importancia relativa y especifican la información detallada de las notificaciones de incidentes graves”.
Una de las particularidades más destacadas de esta nueva norma es que, por primera vez, el legislador introduce una serie de pautas para poder considerar cuándo la gravedad de un ciberincidente puede considerarse que afecta a la reputación de las empresas sometidas a dicha normativa.
En este sentido, el artículo 2 del Reglamento delegado, que lleva por título el de” repercusión en la reputación”, señala que a los efectos de determinar la repercusión en la reputación de un incidente y clasificar el propio incidente, las entidades financieras afectadas deberán considerar que el incidente ha repercutido en la reputación cuando se cumpla al menos uno de los criterios siguientes:
- el incidente se ha reflejado en los medios de comunicación;
- el incidente ha dado lugar a quejas reiteradas de distintos clientes o contrapartes financieras sobre servicios de cara al cliente o relaciones comerciales esenciales;
- la entidad financiera no podrá cumplir los requisitos reglamentarios, o es probable que no pueda cumplirlos, como consecuencia del incidente;
- la entidad financiera perderá, o es probable que pierda, clientes o contrapartes financieras como consecuencia del incidente, lo que acarreará consecuencias importantes para sus actividades.
Adicionalmente a lo señalado en el citado artículo, se añade que, al evaluar la repercusión en la reputación del incidente, las entidades financieras tendrán en cuenta el nivel de visibilidad que el incidente haya alcanzado o pueda alcanzar en relación con cada uno de los criterios enumerados.
En conclusión, el legislador europeo vuelve a dejar claro que el nivel de impacto de un ciberincidente (originado por un ciberataque, o no) en la reputación de las empresas afectadas es un criterio importante al a hora de valorar su gravedad y, por tanto, de activar una serie de obligaciones legalmente previstas, entre las cuales podemos destacar, a los efectos que ahora nos interesan, las de transparencia, notificación al regulador y comunicación a las personas afectadas.
Lógicamente, estos nuevos parámetros nos deben hacer reflexionar sobre la importancia de velar por la buena reputación de la entidad, también en su dimensión de la ciberseguridad, no sólo actuando de manera reactiva, sino incorporando proactivamente recursos de control y monitorización de dicha reputación.
En definitiva, para una adecuada y diligente gestión de la ciberseguridad de las compañías esenciales e importantes, la gestión de la comunicación se convierte en un aspecto tan importante como pueden ser los aspectos técnicos y legales. Y que, además, se exige una coordinación entre todos ellos si queremos garantizar la resiliencia de las empresas ante un escenario de ciberamenazas cada vez más complejo y donde normativas tales como la Directiva NIS2 (a fecha de hoy todavía en fase de transposición al ordenamiento jurídico español) hace recaer la responsabilidad legal, directamente en el órgano de gobierno de las entidades.
