La evolución continua y cada vez más frecuente de las amenazas cibernéticas ha dado lugar a nuevos desafíos, poniendo de manifiesto la necesidad de abordar los retos actuales de ciberseguridad. Así, se ha impulsado la necesidad de revisar y actualizar la legislación europea vigente en materia de ciberseguridad.
En este sentido, destacamos dos nuevas normativas: el Reglamento DORA y la Directiva NIS2. Ambas tratan de establecer un marco normativo de medidas destinadas a garantizar un alto nivel de seguridad de las redes y sistemas de información en la Unión Europea.
En primer lugar, el Reglamento DORA, que afecta directamente a las entidades financieras, entró en vigor en enero de 2023, pero no resulta plenamente aplicable hasta dos años más tarde, es decir, hasta enero de 2025.
Su objetivo es mejorar la resiliencia operativa y la ciberseguridad en el sector financiero, concretamente, respecto de los riesgos relacionados con las tecnologías de la información y la comunicación.
Y es que, las entidades financieras deben adoptar medidas de seguridad robustas que sean capaces de hacer frente a un incidente de seguridad para que su reputación y confianza no se vean dañadas.
Además, el pasado 25 de junio se publicó el Reglamento Delegado 2024/1772 complementario de DORA donde se especifican los criterios para la clasificación de los incidentes TIC, entre los cuales se encuentra la afectación de la reputación de la entidad financiera. En términos generales, las entidades financieras tendrán en cuenta el nivel de visibilidad del incidente para determinar la repercusión en la reputación.
En segundo lugar, la Directiva NIS2 surge como necesidad de actualización de las medidas establecidas en la Directiva NIS1 para abordar los retos actuales en materia de ciberseguridad. Esta aplica a medianas y grandes empresas públicas o privadas.
Esta Directiva refuerza los requisitos de seguridad que deben cumplir las entidades afectadas, precisa el proceso de notificación de incidentes, aborda la seguridad en la cadena de suministro y relaciones con proveedores, así como, refuerza el intercambio de información sobre incidentes.
La Directiva NIS2 recoge un listado de medidas técnicas, operativas y de organización para gestionar los riesgos de seguridad TIC tales como políticas de seguridad, análisis de riesgos, gestión de incidentes, formación en ciberseguridad, etc.
Al contrario que el Reglamento DORA, que es de aplicación directa en todos los estados miembros, la Directiva NIS2 ha de ser traspuesta al ordenamiento interno de los estados miembros antes del 17 de octubre de 2024.
En definitiva, estas normativas hacen reflexionar sobre la importancia de velar por una buena gestión de la ciberseguridad, no sólo actuando de manera reactiva, sino incorporando proactivamente recursos de control y monitorización de dicha reputación.