Los directores ejecutivos de empresas consideradas esenciales deben prepararse ante la Directiva NIS2 sobre ciberseguridad, cuyo plazo para la transposición se cumple hoy, 17 de octubre.
La ciberseguridad es una asignatura pendiente en el panorama empresarial, como ha puesto de manifiesto la ola de ataques cibernéticos acaecida durante el verano. Telefónica, Santander, Iberdrola, El Corte Inglés, Air Europa, Decathlon, Ticketmaster o Alcampo son solo algunas de las grandes empresas que se han visto afectadas. Que estas grandes compañías sean víctimas de este tipo de delitos pone de manifiesto que aplicar medidas de seguridad efectivas es todo un desafío ante la alta vulnerabilidad existente. No hay que perder de vista que, según un estudio de la tecnológica Pandora FMS basado en datos del Instituto Nacional de Ciberseguridad (INCIBE), los sectores estratégicos españoles están más amenazados que nunca. El sector energético, el bancario y el del transporte acumulan el 25% de los intentos de ataque.
Es más que evidente que, cuando un ciberataque genera una brecha de seguridad y los datos quedan expuestos, la compañía queda gravemente afectada. Por un lado, este tipo de ataques suelen generar pérdidas económicas. Por otro, impactan negativamente en la imagen y la reputación de las empresas, dado que los principales públicos de interés pueden perder la confianza.
Table of Contents
Protección ante los ciberriesgos: medidas de seguridad efectivas y plan de respuesta
Protegerse ante los riesgos ciber es una cuestión crucial para grandes y pequeñas compañías. Solo en 2023 se reportaron más de 4.500 millones de intentos de ciberataques en todo el mundo. En este reto de la protección, no basta con tener las medidas de seguridad más sofisticadas del mercado. De hecho, la mayoría de las pymes no pueden aspirar a ello. Como registra el INCIBE, el 96% de las empresas cuenta con algún tipo de medida de seguridad, pero solo el 2,3% tiene todas las disponibles.
El reto de la protección efectiva exige que las medidas técnicas de seguridad sean complementadas con un protocolo de actuación. Es decir: un plan de respuesta que permita a la alta dirección saber qué hacer en las primeras horas y los primeros días tras un ciberataque. Hay que intentar recuperar la normalidad operativa cuanto antes desde un punto de vista técnico. Pero también hay que enfrentarse a un exigente cumplimiento normativo para no caer en duras sanciones.
Disponer de un plan de respuesta ante ciberataques sí está, sin embargo, al alcance de pequeñas y medianas compañías. En este plan de respuesta la comunicación juega un papel estratégico.
La comunicación es estratégica en caso de ciberataque, más aún con la Directiva europea NIS2
¿Por qué es estratégica la comunicación en un caso de ciberataque? Pues porque la normativa es cada vez más exigente en estos asuntos. Si una compañía no notifica con diligencia y transparencia lo sucedido tanto a las autoridades competentes como a los posibles afectados, se expone a graves sanciones económicas. Es más: la Directiva europea NIS2, que proporciona medidas legales para impulsar el nivel general de ciberseguridad en la UE, contempla que el regulador podrá apartar temporalmente del ejercicio de sus funciones a los responsables de la gestión (a nivel de director ejecutivo) si considera que no están actuando con la diligencia y la transparencia comunicativa exigidas.
NIS2 debe ser transpuesta por los estados miembro antes del 17 de octubre de 2024. Esta nueva normativa exige, entre otras novedades, notificar a las autoridades un incidente de seguridad importante en las 24 horas siguientes a su detección. También realizar una evaluación inicial del incidente a las 72 horas. Estos requisitos operan para las empresas consideradas esenciales en los sectores estratégicos como energía, transporte, agua, banca o asistencia sanitaria, entre otros.
Si eres director de comunicación, protégete ante la directiva NIS2
Saber qué hacer en las primeras horas y los primeros días tras sufrir un ciberataque puede marcar la diferencia entre una recuperación rápida o agravar la crisis. O entre incurrir en duras sanciones o evitarlo. O, como hemos visto, entre que el Estado intervenga a la compañía, apartando a su equipo directivo, o que eso no ocurra.
En este sentido, los directores de comunicación de entidades esenciales y críticas no lo van a tener nada fácil con NIS2 en vigor. De hecho, los equipos ejecutivos pueden ser considerados personalmente responsables de las infracciones. Para que esto no ocurra, van a tener que actuar con más rapidez y transparencia de lo que ya era exigido.
Para que el caos inicial que se produce en toda crisis (un ciberataque lo es) no lleve al dircom a la improvisación y a la comisión de errores que pueda hacer que el Estado le aparte de sus funciones y se las intervenga, lo mejor es contar de antemano con un procedimiento muy claro de actuación.
Este procedimiento debe recoger claramente, por ejemplo, que ante un incidente grave de ciberseguridad existe un plazo máximo de 24 horas para notificar al CSIRT de referencia (equipo de respuesta a incidentes de seguridad informáticos) o, en su caso, a la autoridad competente (al INCIBE-CERT -y a la Agencia Española de Protección de Datos en el caso de detectar brecha de datos-). Y que se dispone de 72 horas para presentar, a estas mismas autoridades, un primer informe de evaluación. O que se debe informar de lo sucedido a usuarios y clientes y a todas las partes que se considere puedan estar afectadas ante la mera sospecha de que datos sensibles pudieran haber quedado expuestos. De no hacerlo, o de no hacerlo con la suficiente diligencia, las compañías se enfrentan a graves sanciones de hasta 10 millones de euros o el 2% de la facturación anual.