La Unión Europea (UE) se centra cada vez más en establecer nuevas estrategias de ciberseguridad, actualizando sus normativas respecto a la materia, las cuales, las empresas deben tener en cuenta si no quieren asumir sanciones como consecuencia de su incumplimiento. Conoce en este artículo la Nueva Normativa de Ciberseguridad Europea.
Aumento de los ciberataques, ciberamenazas y ciberdelincuencia
Los ciberataques en Europa siguen una tendencia a la alza, con una mejor preparación, y mayor filtración de datos.
Las entidades públicas suelen ser las más afectadas por la ciberdelincuencia, ya que se roban datos financieros, médicos, etc. Pero las empresas también están en el blanco, ya que pueden obtenerse datos de clientes, o directamente pueden recibir ciberataques o espionaje.
Nueva Normativa de Ciberseguridad Europea: Estrategias
La Unión Europea, ya contaba entre otras, con la Directiva 2016/1148, del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.
Pero, tras los crecientes ciberataques, La UE se ha visto obligada a actualizar la Directiva antes mencionada y proporcionar a los Estados miembro nuevas estrategias y propuestas de ciberseguridad para empresas, para garantizar la protección a entidades públicas y privadas que puedan ver amenazados o atacados sus datos.
Esta revisión supone un refuerzo de las obligaciones de seguridad de las empresas, de seguridad de las cadenas de suministro, de medidas de supervisión más estrictas para las autoridades de los Estados, y de la cooperación.
Además, el Reglamento 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019 (Reglamento de Ciberseguridad de la UE), introdujo novedades, como establecer un sistema de certificación, disponible para toda la Unión Europea. Así como un mandato nuevo y reforzado para la Agencia de la Unión Europea para la ciberseguridad, tanto facilitando la confianza y el aumento del comercio en la UE, como proporcionando apoyo a los Estados miembro ante la ciberdelincuencia.
El EMPACT
Por otro lado, se ha creado la “Plataforma multidisciplinaria europea contra las amenazas criminales”, o EMPACT. Esta plataforma se ocupa de establecer un plan de acción concreto, contra el fraude y falsificación en medios de pago online, es decir, con tarjeta de pago y demás que sean distintos al efectivo.
Actualmente, la UE trabaja en la creación de nuevas estrategias y medidas normativas que faciliten la ciberseguridad en diversos ámbitos.
2 nuevas propuestas para mejorar la ciberseguridad
1. La propuesta de la Comisión del Reglamento para la resiliencia operativa digital del sector financiero (DORA).
2. La propuesta de Directiva sobre la resiliencia de las infraestructuras críticas (CIR).
Aspectos principales de las estrategias de la Unión Europea
Principalmente, la UE pretende reforzar la ciberseguridad, y que las empresas y ciudadanos sientan que sus datos se encuentran seguros en el empleo de herramientas digitales. Con esto, se pretende promover espacios digitales abiertos, seguros y globales, a través de un refuerzo de la prevención, disuasión y respuesta.
Consideran necesario mejorar la coordinación y cooperación en materia de ciberseguridad, así como establecer nuevas herramientas y capacidades para la ciberdefensa.
Algunas de las nuevas estrategias planteadas son:
1. Mejora de la ciberresiliencia, liderazgo y soberanía tecnológica.
2. Lucha para erradicar la ciberdelincuencia, refuerzo de la ciberdefensa y protección de las infraestructuras más críticas.
3. Fomento de la investigación e innovación.
4. Impulso de la ciberdiplomacia.
Para impulsar el avance en investigación e innovación, la Unión Europea está invirtiendo y asignando a la ciberseguridad millones de euros.
En 2020, para el programa Horizonte Europa, se asignaron casi 49 millones de euros en materia de ciberseguridad.
En el nuevo programa Europa Digital, el Consejo y el Parlamento Europeo acuerdan invertir, para materia de ciberseguridad y confianza: 1.649.566 000 euros.
Sanciones para impedir ciberataques
El Consejo de Europa, en 2019, estableció un marco de actuación para poder imponer sanciones contra los ciberataques sufridos en los Estados miembros.
Desde entonces, se puede sancionar tanto a personas como organismos responsables de ciberdelincuencia, con medidas como prohibir los viajes a la UE, o inmovilizar activos de personas y organismos.
Pero, no solo se barajan las sanciones a los responsables de los ciberataques, sino a las empresas que incumplan. La UE establece tal importancia a las nuevas estrategias para la ciberseguridad, que también se sancionarán a las empresas que no lleven a cabo las nuevas medidas, teniendo un fuerte impacto económico para ellas.
Sanciones para las empresas
Las empresas tienen que ir concienciándose y adaptándose a la nueva normativa en materia de ciberseguridad, ya que si la incumplen, se les pueden imponer sanciones a una escala que puede conllevar una situación económica insostenible para dichas empresas. Se plantea que la transposición a la legislación nacional se realice alrededor de los dieciocho meses tras su publicación.
Las nuevas estrategias y normativas, mencionadas anteriormente, se tendrán que transponer a la legislación nacional de cada Estado miembro, de manera que se refuerce y mejore la ciberseguridad, y exista una mayor responsabilidad para cumplir las medidas adoptadas en la materia.
El incumplimiento de estas nuevas medidas, supondrá la imposición de sanciones administrativas.
Para facilitar el cumplimiento de estas obligaciones en un futuro muy cercano, las empresas tendrán que contar en sus plantillas, con profesionales especialistas en ciberseguridad, que sean los encargados de aplicar y cumplir con lo establecido por la UE.
Todavía hay que esperar a la transposición de las nuevas Directivas, para saber concretamente cómo podría afectar el incumplimiento en cuanto a las sanciones, y observar si distará de lo establecido hasta ahora; entre 500.000 y 1.000.000 de euros si se cometen infracciones muy graves.
Otras consecuencias para las empresas
No solo debemos tener en cuenta las posibles sanciones por incumplimiento, pues como he mencionado antes, existe otra necesidad para las empresas. Estas necesidades se basan en aplicar necesariamente las nuevas medidas en ciberseguridad, focalizando en la gestión de riesgos y no solo en el cumplimiento de la normativa.
Las empresas serán responsables de los actos de sus propios proveedores y suministros.
Categorizado en:
Jurídico