¡Comparte en redes sociales!

Pasado, presente y futuro de la regulación sobre ciberseguridad

El panorama regulatorio actual en materia de ciberseguridad está en un constante cambio en respuesta a su intento de afrontar las crecientes riesgos y amenazas, así como desafíos tecnológicos que encara la sociedad. De esta forma, durante los últimos años se ha podido apreciar un paulatino avance de la normativa cyber tanto a nivel europeo como nacional.

¿Cuál es el panorama normativo actual?

Echando la vista atrás cinco años, nos encontrábamos apenas con una Ley de Protección de Infraestructuras Críticas bastante asentada a nivel nacional, una Directiva NIS a nivel europeo que aún se encontraba pendiente de transponer al ordenamiento jurídico español, y un Esquema Nacional de Seguridad cuya aplicación directa era fundamentalmente a las Administraciones Públicas, además de otros estándares o normativas sectoriales que tenían un foco específico. Pero poco más.

Ciudad Inteligente Futurista Tecnologia Red Global 5g (1)

Sin embargo, hoy en día nos encontramos con un conjunto de regulaciones muy diferente y que a futuro se prevé incluso que cambie. Entre ellas hay que destacar principalmente:

  • Ley NIS y su Reglamento de Desarrollo: la Directiva NIS se transpuso al ordenamiento jurídico español, definiendo la necesidad de tener la figura de un Responsable de Seguridad de la Información y concretando aquellos ámbitos a tener en cuenta en lo referente a la gestión de riesgos de seguridad y la notificación de incidentes.
  • Directiva NIS 2: en paralelo, a nivel europeo se ha procedido a realizar una actualización de la Directiva anterior, en el que se amplía el ámbito de aplicación en busca de la homogeneización a nivel europeo y se eleva la necesidad de un respaldo por parte de los Órganos de Dirección. De esta forma, la Ley NIS y su Reglamento de Desarrollo a nivel nacional deben ser actualizados para cubrir con esta nueva Directiva.
  • Directiva CER: a la vez que se publicó la Directiva NIS 2, también se ha emitido a nivel europeo la actualización de la Directiva de la que partió la Ley de Protección de Infraestructuras Críticas[5], por lo que también se espera una actualización de la norma en este sentido.
  • Reglamento DORA: en el sector financiero se ha publicado este Reglamento que tiene un impacto más amplio si cabe y que actúa como regulación específica para todo el sector, tratando de unificar los requerimientos que afectan a un sector tan crítico como este, en busca de un elevado nivel de resiliencia de todo el ecosistema financiero.
  • Otras normativas a nivel europeo que pretenden completar la protección del mercado europeo, como el Cyber Security Act, el Cyber Solidary Act o el Cyber Resilience Act.
  • Esquema Nacional de Seguridad actualizado: la necesidad de actualizar a los riesgos actuales de ciberseguridad una norma que detalla a nivel técnico requisitos de seguridad que deben cumplir las administraciones públicas ha dado lugar a una nueva regulación, que además hace más hincapié si cabe en la necesidad de que aquellas entidades que trabajen con la Administración Pública también cumplan con él.
  • Actualizaciones de estándares, como ISO 27001, NIST, PCI-DSS o SWIFT CSP: el avance tecnológico, tanto en cuanto a los sistemas como a las ciberamenazas, hacen que los estándares estén en constante evolución para poder mantener un nivel de protección acorde a la situación actual.
Ordenador Portatil Mazo Mesa (1)

¿Por qué este incremento de presión regulatoria?

Esta situación de cambio normativa hace frente a situaciones que se han vivido durante los últimos años, como la mayor sofisticación de las ciberamenazas, un incremento de los ataques que van dirigidos a detener las operaciones de las organizaciones (como, por ejemplo, el ransomware), el aumento del teletrabajo a raíz de la pandemia del COVID-19, e incluso tensiones geopolíticas que han incrementado los ciberataques entre naciones.

Estos factores dan como resultado que gran parte de estas normas van dirigidas a aumentar la resiliencia frente a ciberataques, centrándose fundamentalmente en cuatro aspectos:

  • Un nuevo enfoque en el que la ciberseguridad esté plenamente engarzada e integrada con la continuidad de negocio y la gestión de crisis. Esto es, la extensión de la ciberseguridad como disciplina trascienda más allá del ámbito estrictamente preventivo y de protección y por tanto que aporte a la resiliencia de las organizaciones.
  • Un adecuado gobierno de la seguridad en las entidades, con responsabilidades claras en materia de seguridad y una involucración plena de la Alta Dirección.
  • Un conjunto de medidas de seguridad que hagan frente a los principales problemas a los que se enfrentan las entidades en función de su propia naturaleza, de forma que puedan focalizarse los esfuerzos en aquellos puntos de mayor riesgo.
  • Unos mecanismos adecuados para gestionar y notificar los incidentes, de forma que las autoridades de supervisión puedan tener información para actuar y minimizar el daño de los incidentes, tanto colaborando con las entidades afectadas como tratando de evitar la rápida propagación de estos.

¿Qué podemos esperar en el futuro?

El avance de la tecnología, incluyendo por ejemplo la Inteligencia Artificial, la Computación Cuántica u otras materias similares supondrán la aparición de nuevos riesgos, y es por ello por lo que muchas de las normativas quedan abiertas a poder realizar una gestión de riesgos que permita a partir de ahí definir las medidas de seguridad más adecuadas. Sin embargo, y pese a que las normativas, como la Directiva NIS 2, pretende corregir debilidades observadas en las anteriores versiones como la falta de homogeneización, será necesario continuar con la evolución de estas para poder establecer un marco de referencia que garantice un nivel de protección adecuado para la sociedad en general y las entidades en particular.

Glosario

[1] Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión. https://www.boe.es/doue/2016/194/L00001-00030.pdf

[1] Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. https://www.boe.es/diario_boe/txt.php?id=BOE-A-2021-1192

[1] Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) nº 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2). https://www.boe.es/buscar/doc.php?id=DOUE-L-2022-81963

[1] Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a la resiliencia de las entidades críticas y por la que se deroga la Directiva 2008/114/CE del Consejo. BOE.es – DOUE-L-2022-81965 Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a la resiliencia de las entidades críticas y por la que se deroga la Directiva 2008/114/CE del Consejo. https://www.boe.es/buscar/doc.php?id=BOE-A-2011-8849

[1] Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas. https://www.boe.es/buscar/pdf/2011/BOE-A-2011-7630-consolidado.pdf

[1] Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) nº 1060/2009, (UE) nº 648/2012, (UE) nº 600/2014, (UE) nº 909/2014 y (UE) 2016/1011. https://www.boe.es/buscar/doc.php?id=DOUE-L-2022-81962

[1]Cyber Security Act: https://digital-strategy.ec.europa.eu/en/policies/cybersecurity-act

[1] Cyber Solidarity Act: https://www.eu-cyber-solidarity-act.com/

[1] Cyber Resilience Act: https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act [1] Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad. https://www.boe.es/buscar/doc.php?id=BOE-A-2022-7191

Suscríbete a nuestra newsletter para estar al día de todas las novedades

EIP International Business School te informa que los datos del presente formulario serán tratados por Mainjobs Internacional Educativa y Tecnológica, S.A.U. como responsable de esta web. La finalidad de la recogida y tratamiento de los datos personales es gestionar tu suscripción a la newsletter así como para el envío de información comercial de los servicios del responsable del tratamiento. La legitimación es el consentimiento explícito del/a interesado/a. No se cederán datos a terceros, salvo obligación legal. Podrás ejercer tus derechos de acceso, rectificación, limitación y supresión de los datos en cumplimiento@grupomainjobs.com, así como el derecho a presentar una reclamación ante la autoridad de control. Puedes consultar la información adicional y detallada sobre Protección de datos en la Política de Privacidad que encontrarás en nuestra página web.
Master Ciberseguridad Máster Profesional

Deja un comentario

EIP International Business School te informa que los datos del presente formulario serán tratados por Mainjobs Internacional Educativa y Tecnológica, S.A.U. como responsable de esta web. La finalidad de la recogida y tratamiento de los datos personales es gestionar tu suscripción a la newsletter así como para el envío de información comercial de los servicios del responsable del tratamiento. La legitimación es el consentimiento explícito del/a interesado/a. No se cederán datos a terceros, salvo obligación legal. Podrás ejercer tus derechos de acceso, rectificación, limitación y supresión de los datos en cumplimiento@grupomainjobs.com, así como el derecho a presentar una reclamación ante la autoridad de control. Puedes consultar la información adicional y detallada sobre Protección de datos en la Política de Privacidad que encontrarás en nuestra página web.