Las empresas se enfrentan a nuevas obligaciones en políticas de transparencia para evitar ciberataques
Las empresas se enfrentan a nuevas obligaciones en políticas de transparencia para evitar ciberataques
La normativa de ciberseguridad establece por primera vez requisitos de seguridad en el ámbito privado para los operadores de servicios esenciales y para los proveedores de servicios digitales que pueden llegar a enfrentarse a sanciones de hasta un millón de euros
El auge de las nuevas tecnologías, la globalización, el anonimato en internet, son algunos de los factores que han inducido a que las empresas sean cada vez más vulnerables a nuevos ataques en el ciberespacio. Dado que el problema es global, se requiere una aproximación de carácter internacional desarrollando una legislación y colaborando a nivel internacional entre los Estados para que haya una mayor transparencia para gestionar las crisis y prevenir otros ataques.
Así se puso de manifiesto durante una jornada que organizó este lunes Andersen Tax & Legal en el Auditorio de sus oficinas en Madrid para abordar los principales cambios, riesgos y sanciones a las que se someten las compañías, así como las medidas para cumplir con las nuevas obligaciones del Reglamento que desarrolla el Real Decreto-ley 12/2018, con la participación de Alberto Hernández, Director General de INCIBE, y Vicente Moret, of Counsel del área de Ciberseguridad de la Firma y letrado de Cortes Generales.
El pasado 7 de septiembre se aprobó el Real Decreto de seguridad de las redes y sistemas de información que establece nuevas obligaciones normativas para los operadores de servicios esenciales y los proveedores de servicios digitales con el objetivo principal de proteger al ciudadano y mantener la seguridad del país y del sistema, frenando los ataques a los que están expuestos las compañías y evitando daños a empresas y sectores, principalmente los estratégicos para la economía y la sociedad.
INCIBE recibe entre 20 y 40 mil notificaciones al día de sistemas o redes infectadas en nuestro país, señaló Alberto Hernández durante su intervención, de las cuales, explicó, más del 70% se consiguen resolver el mismo día. El año pasado el Instituto llegó a gestionar más de 111 mil ciberataques, lejos de los 18 mil que gestionaron en el 2014. La principal causa de este volumen de ciberataques, subrayó Hernández, es “el mal uso de las tecnologías, el bajo nivel de concienciación de los usuarios y la alta dependencia de las tecnologías en nuestra sociedad”, aunque el factor clave insistió, es “la desinformación y las fake news”.
Por su parte, Vicente Moret explicó que, por primera vez, la directiva NIS establece requisitos de seguridad en el ámbito privado para los operadores de servicios esenciales, esto se refiere a empresas del sector de la energía, salud, tecnologías TIC, industria nuclear, transporte, alimentación, instalaciones de investigación, agua, y sistema financiero y tributario y para los proveedores de servicios digitales, entre ellos: ecommerce, motores de búsqueda y servicios de computación en nube, aunque quedan exentos de la normativa las microempresas con menos de 10 asalariados y un volumen de negocios anual de menos de dos millones de euros, así como las pequeñas empresas con menos de 50 asalariados y un volumen de negocios anual menor de 10 millones.
En cuanto a las obligaciones que establece la nueva normativa, Vicente Moret explicó que las empresas afectadas deben establecer una política de seguridad, gestionar los incidentes de seguridad y notificar los ciberataques. Moret avisó a las empresas presentes en la jornada que ya existe un régimen sancionador que se puede aplicar con todas las garantías y que, por la comisión de infracciones muy graves se establece una multa de 500 mil hasta un millón de euros, para las infracciones graves, la multa desciende a los 100 mil pero que podría llegar a 500 mil euros y para las infracciones leves, la multa será de menos de 100 mil euros, aunque el daño reputacional, advirtió Moret, será mucho mayor.