Bruselas convierte la ciberseguridad en estratégica con la aprobación de la directiva NIS2 y el reglamento DORA
Y lo hace a través de la Directiva UE 2022/2555 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión (NIS 2) y el Reglamento UE 2022/2554 de Resiliencia Operativa (DORA) Digital del sector financiero.
Las citadas normas van a implicar que las empresas vengan obligadas a ser responsables y a tomar medidas de protección de sus activos. La llegada de DORA va a reforzar las políticas de seguridad en el sector financiero, en un movimiento que respalda la denominada gobernanza de las empresas y les impone nuevas obligaciones para sus Consejos de Administración que serán responsables últimos.
También se potencia la figura del CISO, director de seguridad de las empresas, cuya visión no es solo técnica sino también estratégica en estos momentos para las empresas. A partir de ahora la ciberseguridad será clave cuando una empresa se plantea lanzar un nuevo producto o servicio y, en general, en la vida de cualquier empresa que quiera competir en el mercado del siglo XXI.
En concreto la directiva NIS 2 crea una estrategia común de ciberseguridad de todos los Estados miembros, exigiendo compartir información sobre incidentes de ciberseguridad y en la designación tanto de autoridades competentes responsables de la gestión de incidentes y de las crisis de ciberseguridad a gran escala que forman un Grupo de Cooperación entre estos Estados. Se sigue el modelo del RGPD entre los estados miembros pero ahora en materia de ciberseguridad.
Si bien tiene como principal novedad respecto de la norma de protección de datos que la directiva se ocupa también de la conformación de equipos de respuesta a incidentes de seguridad, (computer security incident response team, CSIRT) y una red nacional de estos equipos, asi como una red europea de organizaciones de enlace para las crisis de ciberseguridad a fin de gestionar coordinadamente los incidentes y las crisis a gran escala entre los Estados miembros (formada por representantes de las respectivas autoridades de gestión de crisis de ciberseguridad).
DORA se aplicará en enero del 2025 y NIS 2 debe trasponerse antes de octubre del 2024.
Imagen: ABC