Demasiado es demasiado… Los ataques informáticos han ocasionado numerosos daños a organizaciones europeas. El impacto ha sido mayor en estas sociedades, pero también en muchos servicios vitales: electricidad, salud, etc. La directiva NIS2 busca así reforzar y armonizar las normas de ciberseguridad en Europa. ¿Cuáles son las consecuencias para las empresas y en qué medida están afectadas?
La obligación de cumplir ciertas normas europeas se percibe a priori de manera negativa. La empresa enfrenta nuevas restricciones, la necesidad de reportes costosos en recursos humanos, la posibilidad de multas severas en caso de incumplimiento de las normas… Así es la situación con la directiva NIS2, que entró en vigor a nivel europeo el 17 de enero de 2023. NIS es el acrónimo de «Network and Information Systems», es decir, «Redes y sistemas de información».
¿Por qué esta nueva directiva europea?
El objetivo de NIS2 es impulsar a las administraciones y empresas a cargo de servicios esenciales a invertir de manera sostenible y eficaz en la seguridad de su informática. Estas organizaciones no solo deben estar mejor protegidas, sino también ser resilientes: en caso necesario, deben poder restablecer rápidamente su funcionamiento. Hay un mensaje subyacente: generalmente será menos costoso cumplir con esta directiva que sufrir un ciberataque.
Un asunto que va más allá de las empresas
Aun así, la ciberseguridad podría parecer principalmente una cuestión interna de cada empresa. Si sufre un ataque por no haber protegido adecuadamente su informática, ¿no es simplemente lamentable para ella? ¿Por qué sería necesario imponerle asegurar sus datos con la perspectiva de posibles sanciones?
Resulta que existe un número considerable de operadores cuyo buen funcionamiento es vital para la sociedad. Y en realidad, NIS2 pretende proteger no solo a las empresas, sino también a los ciudadanos de las consecuencias no deseadas que pueden resultar de ataques informáticos. A continuación, se presentan algunos ejemplos concretos.
Los hospitales
Tomemos el ejemplo de un hospital o una clínica. Muchos establecimientos de este tipo han sido afectados por ciberataques en años anteriores. Las consecuencias fueron graves: imposibilidad de acceder a los expedientes médicos de los pacientes, obligación de cancelar ciertas operaciones urgentes… Los pacientes tuvieron que ser redirigidos a otros establecimientos, y su vida pudo haber estado en peligro.
Con la directiva NIS2, un hospital está obligado a implementar una vigilancia continua de su seguridad informática.
Proveedores de energía
Lo mismo ocurre con un proveedor de energía. Si sufre un ataque que provoca un mal funcionamiento de sus servicios, puede resultar en cortes de electricidad a gran escala. Decenas o cientos de miles de hogares pueden quedarse sin calefacción en pleno invierno, empresas vitales pueden verse imposibilitadas de llevar a cabo sus operaciones, funciones públicas como los semáforos pueden dejar de funcionar… Claramente, la protección de la informática de un proveedor de energía es una prioridad importante, ya que un fallo puede impactar varios sectores.
Transportes
El sector del transporte no se queda atrás. El buen funcionamiento de los sistemas de señalización ferroviaria, el cumplimiento de los horarios puede ser crítico para muchos viajeros. Nuevamente, un fallo de larga duración raramente es posible de considerar.
Los bancos
¿Qué hay de los bancos privados? Un ciberataque puede conllevar el robo de datos personales, lo cual ya es bastante preocupante, pero también puede bloquear el acceso a cuentas e impedir que miles de usuarios realicen sus compras diarias o incluso reciban su salario. Y nuevamente, la implementación de medidas de ciberseguridad de alto nivel es crucial.
¿Por qué NIS1 ya no era suficiente?
Una primera directiva europea, NIS1 había sido establecida en 2016. Sin embargo, en ese tiempo, los ataques informáticos han alcanzado un grado de sofisticación inesperado, especialmente con el auge del ransomware o programas de rescate. También se han vuelto más frecuentes y más costosos. Y afectan a empresas de todos los sectores y tamaños.
No obstante, NIS1 solo se aplicaba a un número limitado de sectores considerados esenciales (energía, transporte, salud, etc.). Muchas administraciones o proveedores de servicios críticos no estaban afectados por su aplicación. Además, cada Estado miembro disponía de una libertad de interpretación e implementación que en la práctica resultó excesiva y limitaba las posibilidades de coordinación y cooperación. Esto resultó en brechas que los ciberdelincuentes podían explotar.
Cambios que trae la directiva NIS2
En consecuencia, NIS2 ha incluido más sectores y empresas, las administraciones públicas en su conjunto, pero también las PYMES que proporcionan servicios críticos. Como novedad, esta directiva mejorada armoniza las medidas mínimas de ciberseguridad en la UE. Refuerza y acelera las obligaciones de notificación de incidentes. Los plazos se reducen a 24 horas para el aviso inicial, y a 72 horas para la entrega de un informe completo. Los dirigentes ven aumentada su responsabilidad personal. Finalmente, NIS2 impone sanciones disuasorias que pueden alcanzar hasta 10 millones de euros.
¿Multas excesivas?
A primera vista, una multa que podría alcanzar los 10 millones de euros o el 2 % de la facturación anual mundial puede parecer excesiva. Sin embargo, tranquilos. Solo los sectores realmente vitales para la sociedad (salud, energía, transportes, etc.) están sujetos a tales sanciones y estas solo se aplicarían en caso de infracciones graves y recurrentes. Además, las sanciones tienen en cuenta el tamaño y la facturación de la empresa: una PYME será mucho menos penalizada que una empresa con decenas de miles de empleados.
Estas cifras también deben ser sopesadas con otros factores. En primer lugar, los ciberataques cuestan miles de millones de euros cada año y tienen a menudo consecuencias deplorables: robos de datos, interrupción de servicios, disminución de la confianza del público en un operador determinado, etc. Así, los ataques a hospitales a veces han resultado en costos financieros colosales.
Recordemos que el objetivo es llevar a las empresas a realmente tomar en serio la seguridad de sus infraestructuras informáticas. ¡Más vale prevenir que lamentar!
