El 2024 marcó un punto de inflexión en la ciberseguridad con la entrada en vigor de la Directiva NIS2 en octubre. Cumplida la fecha límite del 17 de enero de 2025 para que los Estados miembro comuniquen sus regímenes de sanciones por incumplimiento, muchas empresas aún no están preparadas.
El nuevo marco regulatorio introduce nuevas obligaciones de ciberseguridad, generando incertidumbre en las empresas españolas, especialmente a la hora de compatibilizarla con el Reglamento General de Protección de Datos (RGPD).
Con la celebración el pasado 28 de enero del Día Europeo de la Protección de Datos, cuyo fin es concienciar a los ciudadanos y empresas sobre la importancia de salvaguardar la información personal y resaltar sus derechos en relación con el tratamiento de sus datos, las compañías tienen una gran oportunidad para revisar y actualizar sus políticas y prácticas en línea con las disposiciones del RGPD y la Directiva NIS2. La convergencia entre ambos marcos regulatorios implica que se debe abordar la ciberseguridad y la protección de datos de forma integrada, un enfoque holístico que facilite el cumplimiento y optimice los recursos.
Más allá de la instalación de un antivirus o un firewall, la ciberseguridad requiere una planificación estratégica integral, crucial para afrontar las crecientes amenazas digitales. La NIS2 exige a las empresas, en particular a aquellas consideradas esenciales o importantes, desarrollar un plan de ciberseguridad robusto, con marcos de referencia como ISO27001 (cuyo fin es gestionar la seguridad de la información) o SOC Type 2 (evaluación independiente de la eficacia operativa de los controles de seguridad de una organización). Este plan integral debe contemplar también la gestión de riesgos, la continuidad del negocio y, fundamentalmente, la protección de los datos más sensibles de los clientes, aspectos que convergen con los principios de la RGPD.
Además, estos negocios importantes o esenciales pueden llegar a enfrentarse a una responsabilidad penal en caso de fuga de datos de los clientes. Y es que, una de las grandes diferencias respecto a reglamentos como el RGPD radica en las sanciones. Anteriormente, era suficiente con reportar la fuga de datos y la empresa pagaba la multa, pero ahora, con la NIS2 y el reciente esbozo de su transposición en España, los líderes empresariales son responsables y, en caso de penalización, podrían verse obligados a cubrirlas con sus propios bienes. Se produce entonces un cambio de escenario en el que la ciberseguridad ya no es un gasto esquivable, sino un elemento de riesgo real, llevando al desbloqueo de presupuestos y a una mayor implicación por parte de la dirección de la compañía en materias de seguridad.
En este contexto, la formación y concienciación de los empleados en ciberseguridad son pilares fundamentales para construir una cultura de seguridad sólida. A menudo, los errores humanos son la puerta de entrada para los ciberataques, por lo que la promoción de buenas prácticas de seguridad, como autenticación multifactor y el uso de contraseñas robustas, puede ser significativo a la hora de prevenir posibles ataques.
Jordi Molina, Chief Technology Officer en Teradisk, empresa de Grupo Aire, afirma: “En el contexto actual, la ciberseguridad ya no se trata de si ocurrirá un incidente, sino de cuándo ocurrirá. Por este motivo es fundamental establecer roles y responsabilidades, protocolos de notificación y realizar pruebas periódicas dentro de un plan de ciberseguridad definido y sólido, incluyendo simulacros y auditorías, para garantizar su eficacia”. También, añade: “Entre otras cosas, será importante definir en el plan de ciberseguridad cómo protegeremos los datos sensibles de nuestros clientes y la reputación de nuestra empresa”.
En la era digital, la protección de datos se ha convertido en un aspecto crucial para las organizaciones. No solo es una obligación legal bajo regulaciones como el RGPD y la Directiva NIS2, sino que también es fundamental para mantener la confianza de los clientes y la reputación de la empresa. Los datos personales son un activo valioso y su mal uso o pérdida puede tener consecuencias significativas. Proteger los datos no es solo una responsabilidad, sino una inversión que puede proporcionar un valor real a las empresas en términos de competitividad y crecimiento sostenible.
