Durante años, los ciberataques han puesto en jaque a grandes empresas y han expuesto la información personal de millones de personas, dejando a los afectados en una posición vulnerable y sin mayores consecuencias para las empresas más allá de una disculpa pública. Sin embargo, esto está a punto de cambiar. La nueva normativa europea, encabezada por la Directiva NIS2, introduce un enfoque más riguroso que responsabiliza directamente a la alta dirección de las empresas por las brechas de seguridad, marcando un antes y un después en la gestión de la ciberseguridad corporativa.

Responsabilidad directa de la Alta Dirección

La Directiva NIS2 establece que la alta dirección ya no podrá delegar o evitar la responsabilidad sobre incidentes de ciberseguridad. Marta Trabado, experta en cumplimiento normativo de A3Sec, afirma que “esta normativa es un cambio radical, ya que introduce la posibilidad de sanciones penales para los ejecutivos que no garanticen medidas preventivas adecuadas”. Este enfoque convierte a la ciberseguridad en un asunto estratégico, no solo técnico, obligando a las empresas a integrar la protección digital en todos los niveles de su organización.

Clasificación de Empresas: “Esenciales” vs. “Importantes”

La NIS2 categoriza a las empresas en dos grupos:

• Esenciales: Incluye sectores críticos como energía, transporte, banca, telecomunicaciones y salud. Estas empresas estarán sujetas a una supervisión continua y deberán implementar medidas preventivas estrictas.

• Importantes: Compañías de sectores como alimentación, tecnología, mensajería y fabricación, con requisitos de ciberseguridad similares, aunque con una supervisión menos intensa.

España y la trasposición pendiente

A pesar de que la fecha límite para trasponer NIS2 era el 17 de octubre de 2024, España, al igual que otros 22 países miembros, no ha completado este proceso. Según fuentes del Ministerio del Interior, el proyecto de ley será presentado a la Comisión de Secretarios de Estado en diciembre, aunque el calendario legislativo sigue siendo incierto.

Marta Trabado advierte que “la falta de trasposición no exime a las empresas de cumplir la normativa, ya que Bruselas ha emitido un reglamento de ejecución que la hace obligatoria de facto”. Esto implica que las empresas deben actuar con urgencia para evitar sanciones económicas y la pérdida de contratos públicos.

Ola de Ciberestafas en el horizonte

El endurecimiento de la normativa llega en un contexto de creciente preocupación. Las autoridades advierten sobre una inminente campaña de estafas masivas basadas en datos personales filtrados en ciberataques anteriores. Las organizaciones deben no solo fortalecer sus defensas, sino también educar a sus clientes y empleados para evitar ser víctimas de estos fraudes.

Ciberseguridad como prioridad estratégica

Con la Directiva NIS2, Europa lanza un mensaje claro: la ciberseguridad es responsabilidad de toda la empresa, desde los niveles técnicos hasta la cúpula directiva. El cambio de paradigma no solo busca prevenir ciberataques, sino también asegurar que las empresas sean responsables de sus actos, protegiendo a los ciudadanos y garantizando un entorno digital más seguro.

Este nuevo marco regulatorio no solo redefine las reglas del juego, sino que también establece un precedente global sobre cómo deben ser gestionadas las brechas de seguridad en el mundo corporativo.