Suele atribuirse al desarrollo normativo un carácter de lentitud que implica ir bastante por detrás del estado del arte de la tecnología. Y, sin embargo, la Unión Europea se ha propuesto equiparar el paso entre leyes y regulación en multitud de aspectos ligados con la innovación, con la ciberseguridad como principal exponente.

La viva prueba de ello la encontramos en la directiva Network and Information Security (NIS 1). Traspuesta en España hace apenas cuatro años (en otoño de 2018, posteriormente actualizada en 2021 con un real decreto que profundizaba en sus aspectos más técnicos), está a punto de ser sustituida por una nueva versión (NIS 2) que los expertos consideran la antesala de la gran estrategia de ciberseguridad común del Viejo Continente.

"Hay poco tiempo entre ambos textos y eso se explica por la ambición de cada una de esas directivas. NIS 1 fue un avance importante pero prudente y algo tímido: tenía una cierto nivel unificador pero respetando mucho la tradicional soberanía nacional de los estados en ciberseguridad, con menores sanciones y obligaciones sólo para ciertos actores", introduce Carlos López Blanco, presidente de la Fundación ESYS.

[Claves para que Europa cierre la brecha digital con EEUU y China]

El exsecretario de Estado de Telecomunicaciones y para la Sociedad de la Información desgrana con D+I su particular visión sobre la evolución que puede partir de la NIS 2 y cómo puede suponer la antesala de esa auténtica unidad regulatoria en materia de ciberseguridad a escala comunitaria.

"Nos hemos enfrentado a todo lo digital desde la perspectiva nacional, pero no se puede regular desde ahí. Existe la necesidad geopolítica de una regulación más extensa que sólo puede venir, en nuestro caso, desde la UE", confiesa.

Una directiva "de transición"

López Blanco está convencido de que la NIS 2 será una normativa de transición hasta conseguir un marco regulador más detallado procedente de Bruselas. Un proceso que tiene sus patas en reglamentos como DORA (también previsto para fechas próximas y que atañe a la ciberseguridad de la banca).

"La NIS es una directiva, que ha de ser transpuesta. Con NIS 1 ya hubo países, como España, que han estirado la norma para que abarcara a sectores que no aplicaban. De algún modo, ya han transpuesto la directiva más pensando en la NIS 2. Pero DORA es un reglamento que no da margen a los estados y la Unión Europea ya ha dicho que será la norma que inspire la futura materia de ciberseguridad", explica el experto.

En su opinión, la NIS 2 pasa por un paso intermedio que evite "la resistencia" que puede existir en los países a ceder competencias en este campo. Algo que el exdirectivo de IBM, Vodafone, Bankinter o Telefónica considera "inevitable" en este camino hacia una "mayor cohesión de defensa y seguridad europeas".

"Al principio se aprobarán reglamentos por sectores -como DORA- pero al final tendremos un NIS 3 en forma de reglamento de aplicación directa", aspira Carlos López Blanco.

Los puntos clave de la NIS 2

Dure lo que dure la vida de la revisada directiva Network and Information (que tendrá que ser transpuesta en todos los países europeos en los 21 meses posteriores a su aprobación), la norma tiene algunas novedades relevantes que son buena prueba de la ambición amplificada con que surge.

Para Carlos López Blanco, una de esas claves es que se refuerzan los requisitos de seguridad en las empresas y organismos públicos: "Se incluyen detalles muy concretos en la respuesta ante incidentes, la gestión de crisis, la prevención de vulnerabilidades, las pruebas 'cyber' o la necesidad de usar cifrado".

No son las únicas modificaciones de relevancia que podemos observar en esta revisión regulatoria. Hay, por ejemplo, un especial hincapié en extender la ciberseguridad a través de todas las cadenas de suministro y se refuerza el principio de responsabilidad en esta materia a la dirección de las empresas.

"El artículo 17 de la NIS 2 obliga a que haya planes de formación en ciberseguridad para los Consejos de Administración. Esto implica que, más allá del CISO, se hace de forma simbólica al Consejo como máximo responsable en estos temas", interpreta el presidente de la Fundación ESYS.

La NIS 2 también introduce novedades en el régimen sancionador. Entre otras cosas, otorga a los Estados miembros competencias para -en última instancia- suspender parcial o totalmente la actividad de una empresa o apartar a directivos de sus funciones de responsabilidad. Con respecto a las multas, la norma habla de sanciones “proporcionales y disuasorias” que pueden llegar a afectar al 2% de la facturación mundial, recuerda López Blanco.

Las dificultades de adaptarse

En cualquier caso, para las empresas, el efecto económico más inmediato de la NIS 2 no vendrá por las sanciones, sino por la necesidad de aplicar los nuevos requerimientos de ciberseguridad. Más aún, como veíamos, cuando estos requerimientos se enfocarán en la gestión de riesgos y las empresas pasarán a ser responsables de la actuación de sus proveedores y suministradores.

Por lo pronto, la nueva directiva impone obligaciones de notificación más intensas a las empresas afectadas por un incidente de ciberseguridad (en 24 horas máximo y con un informe detallado antes de un mes). También incluye la creación de una Red Europea de Organización de Enlaces de Crisis Cibernéticas (EU-Cyclone) para mitigar los efectos de los ataques y coordinar mejor las respuestas a gran escala.

Sin embargo, Carlos López Blanco no está de acuerdo con que la NIS 2 vaya a suponer una dificultad añadida para las empresas en su adopción.

"Las grandes compañías ya estaban afectadas por su antecesora y ya habían invertido mucho en ciberseguridad no tanto por la regulación, sino por el coste de los incidentes en su negocio. Para ellos no cambia mucho. Y para los sectores nuevos a los que abarca la NIS 2, habrá algunos temas de adaptación, pero no hay un problema de recursos, porque muchas herramientas son estándares y muy económicas", explica.

Alude, en ese sentido, a que la principal dificultad radica en algo mucho más elemental y esencial: la concienciación de la importancia de lo 'cyber' entre las pequeñas y medianas empresas.

"Necesitamos crear una gran cultura de ciberseguridad, a lo que puede contribuir ese efecto contagio de la cadena de suministro. El agujero que encontramos es que las pequeñas empresas no son conscientes de los problemas que existen en estos entornos y creen que ellas no son un objetivo de los atacantes. Además, todo lo relacionado con la ciberseguridad exige método y disciplina, algo extendido en las grandes empresas pero no tanto en la pyme", concluye el experto.