La UE multará a las empresas con hasta 10 millones si no protegen su ciberseguridad

La ciberseguridad se ha convertido en la gran batalla del siglo XXI en el mundo digital. Y, dado que ese mundo digital afecta a todos los ámbitos, la ciberseguridad es el epicentro de la supervivencia. Sobre todo, para las empresas. No en vano, el 60% de las pymes europeas terminan quebrando tras un ciberataque, según un informe de Google.

Por el camino, los ciberataques dejan pérdidas anuales en el mundo por un valor superior a los 12.000 millones de dólares, según el FBI. Y eso lastra la competitividad en un mundo que es totalmente digital.

Por eso mismo, Europa se ha plantado y ya obliga a las empresas a proteger su ciberseguridad con la nueva directiva NIS2, que entró en vigor a finales de 2024 y será traspuesta en España en los próximos meses. La consecuencia de no cumplir la directiva y no protegerse adecuadamente: multas de hasta 10 millones de euros o el 2% de su volumen de negocio anual global.

Un punto de inflexión

“La directiva NIS2 marca un punto de inflexión en la regulación de la ciberseguridad, reforzando el marco normativo, fomentando la cooperación entre los Estados miembros de la Unión Europea y estableciendo una responsabilidad directa y personal a los órganos de dirección”, explica Antonio Quevedo, CEO de GlobalSuite Solutions, compañía experta en soluciones GRC (Gobierno, Riesgo y Cumplimiento).

Quevedo subraya que el impacto de esta nueva normativa “es muy significativo, ya que en Europa y a nivel global, no es común encontrar normativas tan exigentes en cuanto a la responsabilidad de la alta dirección en este ámbito”.

Involucrar a la cúpula

Los expertos en ciberseguridad coinciden en la importancia de las buenas prácticas para evitar que errores humanos, incluso insignificantes, se conviertan en la puerta de entrada de un ciberataque. Un estudio de la Comisión Económica para América Latina y el Caribe (CEPAL) reveló que el 60% de los ciberataques se deben a técnicas que involucran al usuario, convertido en el eslabón más débil para la comisión del delito.

“NIS2 redefine el papel de los ejecutivos en ciberseguridad, exigiendo que participen de manera activa y estratégica. Ya no basta con delegar en el equipo técnico: deben comprender los riesgos, supervisar las medidas implementadas y garantizar que toda la organización adopte una cultura de ciberseguridad”, destaca Andrés Mendoza, director técnico para el sur de Europa y LATAM de ManageEngine, empresa especialista en soluciones integrales de gestión de operaciones de TI y seguridad. “Este cambio de la seguridad digital a la responsabilidad corporativa es clave para asegurar el cumplimiento normativo y la resiliencia empresarial”, añade.

Aunque a priori pueda resultar una complejidad adicional para las empresas el hecho de tener que prestar, definitivamente, atención a su ciberseguridad, la realidad es que se trata de algo necesario en una sociedad en la que los ciberataques están a la orden del día. Y, además, la normativa pone el foco en las buenas prácticas, y no tanto en la necesidad de contar con una compleja y costosa estructura de ciberseguridad.

“Cumplir con NIS2 no significa hacer grandes inversiones, sino aplicar una estrategia eficiente. Evaluar los riesgos, aprovechar los recursos disponibles y fortalecer las capacidades internas no solo facilita el cumplimiento normativo, sino que también mejora la competitividad de la empresa”, explica el directivo de ManageEngine, quien recomienda ver la ciberseguridad “como un motor de crecimiento y resiliencia, en lugar de un gasto obligatorio”.

Los expertos coinciden en que esta normativa “representa una oportunidad para reforzar la resiliencia operativa y la confianza de clientes y socios”, aporta Antonio Quevedo, CEO de GlobalSuite Solutions. “Cumplir con NIS2 requiere un enfoque estratégico que vaya más allá de la mera adaptación normativa y, para ello, es clave que las empresas cuenten con soluciones tecnológicas que faciliten la automatización del cumplimiento, así como con expertos que adapten estos procesos a sus necesidades específicas”, añade.

Soluciones para el 'compliance'

Si ya es de por sí difícil el cumplimiento normativo en un entorno regulatorio como el europeo, donde se suceden las novedades legislativas a varios niveles, cuando entra en juego la tecnología o la ciberseguridad, muchas empresas se desesperan.

Por eso, las soluciones de las que habla el CEO de GlobalSuite Solutions son las que permitirán adaptarse a esta nueva normativa sin incurrir en gastos excesivos ni quebraderos de cabeza. La propia GlobalSuite Solutions ya ofrece una plataforma para el cumplimiento de NIS2, y que permite la identificación automatizada de riesgos, la notificación de incidentes con trazabilidad de los mismos para atajarlos con mayor rapidez o la puesta en marcha de planes de continuidad y resiliencia operativa para garantizar la ciberseguridad a través de medidas que incluyen la evaluación de la seguridad de los proveedores de la empresa, para evitar que puedan suponer un riesgo para el cliente. Medidas que no solo cumplen con la directiva, sino que mejoran la capacidad de la empresa a la hora de competir en los mercados internacionales.

Sanciones considerables

Más allá del escudo que supone contar con una plataforma que proteja a las empresas, la realidad es que NIS2 está acompañada de un sistema de sanciones muy elevadas para quienes no observen estas prácticas, lo que hace obligatoria su observancia. Pero los expertos animan a no poner el foco solo en lo llamativo de las multas.

“Cumplir con NIS2 va más allá de evitar multas: es un requisito obligatorio para las empresas consideradas esenciales o importantes, según la clasificación sectorial de NIS2, especialmente aquellas con más de 50 empleados. Las empresas que no protegen sus sistemas se exponen a riesgos significativos, como brechas de seguridad y pérdida de competitividad frente a aquellas que priorizan medidas de seguridad sólidas. Y en un entorno donde la ciberseguridad es crucial para la continuidad operativa, tratarla como un pilar estratégico es fundamental”, explica Andrés Mendoza desde ManageEngine, compañía que ofrece soluciones de gestión de acceso privilegiado

De hecho, la normativa no solo se focaliza en multas para quienes incumplan NIS2, sino que “la alta dirección de las entidades esenciales se enfrentaría a una posible inhabilitación para ejercer sus funciones”, apunta Antonio Quevedo, lo cual evidencia que el objetivo de las sanciones contempladas no es tanto recaudatorio, cuanto de cambiar la cultura empresarial desde los cimientos para que la ciberseguridad se convierta en uno de los pilares del sector empresarial europeo.

“En España, se estima que NIS2 afectará a una gran cantidad de organizaciones de distintos sectores, tanto públicas como privadas, lo que ha llevado a que el tema ya esté en la agenda de los consejos de administración”, revela Quevedo.

En todo caso, la normativa viene a reforzar unas prácticas que todavía son insuficientes en el tejido productivo europeo. De hecho, un estudio de la Cámara de Comercio de España reveló el año pasado que apenas el 46,8% de las empresas españolas tenía definido un plan específico en ciberseguridad. Además, solo el 34% de las empresas llevaban a cabo programas de formación en ciberseguridad.

Dos aspectos que con NIS2 se convertirán en obligatorios en España en cuanto la normativa sea traspuesta. Algo que sucederá, previsiblemente, a lo largo de este año, por lo que las empresas españolas tienen deberes que hacer en materia de ciberseguridad no solo para cumplir la nueva directiva, sino para que su competitividad no se vea lastrada por un error convertido en pesadilla.