«Los miembros de los órganos de administración y los altos directivos van a ser responsables de garantizar que la organización cumple con las normativas de ciberseguridad»
El Observatorio Legaltech & New Law Garrigues ICADE, tras la más que interesante jornada celebrada el pasado 24 de enero sobre ChatGPT y su potencial impacto en las profesiones legales (puedes ver el vídeo de esta mesa a través de este enlace) vuelve a la carga con una prometedora sesión, presencial y online, sobre un tema fundamental pero sobre el cual nos da la impresión de que no se habla lo suficiente: DORA y NIS II, preparando a Europa para los retos digitales del futuro.
La reciente publicación oficial de la Directiva NIS 2 y el Reglamento DORA supone un nuevo hito en el refuerzo de la normativa de ciberseguridad a nivel europeo. Además de la ampliación del ámbito objetivo de aplicación y la definición de obligaciones para las entidades afectadas, ambas normas asignan directamente al máximo órgano de decisión de las entidades jurídicas la responsabilidad en el establecimiento, implementación y ejecución de planes de seguridad de redes y sistemas de información. En pocos meses, muchas empresas y organizaciones se verán obligadas a reorganizarse para cumplir ambas normas y reforzar sus esquemas de seguridad de la información.
En esta jornada se analizará algunas de las cuestiones clave de las nuevas normas a través de la mesa redonda La Estrategia de ciberseguridad de la UE: infraestructuras críticas en la Directiva NIS II y DORA. , en la que intervendrán profesionales con perfiles muy diversos que sin duda enriquecerán un contenido muy recomendable:
- Alejandro Padín será el moderador. Alejandro es socio responsable del área de Privacidad, Tecnología y Ciberseguridad en Garrigues.
- Agustín Valencia, Desarrollo de Negocios de Seguridad OT/IoT/ICS en Fortinet, y profesor del Máster de Ciberseguridad de ICAI.
- César Pérez Chirinos es el Presidente del subcomité CTN 71 SC 307 de normas de blockchain y tecnologías de registro distribuido de UNE, la Agencia Española de Normalización, miembro del OECD – Blockchain Expert Policy Advisory Board (BEPAB) y ex Asesor de continuidad de negocio del Banco Central Europeo.
- Pablo López es jefe del área de Normativa y Servicios de Ciberseguridad del Centro Criptológico Nacional, y Teniente Coronel del Cuerpo General del Ejército del Aire.
El Observatorio Legaltech & New Law Garrigues ICADE tiene como coordinadora a la gran Ofelia Tejerina, que confirmó la necesidad de conocer a fondo esta nueva normativa contestado a nuestras preguntas.
Ofelia, ¿Cómo pueden impactar DORA y NIS2 en la responsabilidad de los directivos de una compañía?
DORA y NIS2 asignan directamente al máximo órgano de decisión de las entidades jurídicas la responsabilidad en el establecimiento, implementación y ejecución de planes de seguridad de redes y sistemas de información. Esto implica que los miembros de los órganos de administración y los altos directivos van a ser responsables de garantizar que la organización cumple con las normativas de ciberseguridad, debiendo asegurar que el personal de la organización está capacitado, ha sido formado y tiene los recursos necesarios para mantener la seguridad de los sistemas de información. Esta es una de las principales novedades de la normativa, ya que hasta ahora la responsabilidad en ciberseguridad no se asignaba de forma tan explícita a los órganos de administración. El impacto es directo y evidente.
¿Hasta qué punto pueden ser importantes para concienciar de la necesidad de establecer una estrategia alrededor de la ciberseguridad?
Las normas establecen unos requisitos específicos en términos de seguridad de la información y la necesidad de contar con personal especializado y capacitado en este ámbito. Esto fomentará la formación continua y la mejora de la capacitación en ciberseguridad en las organizaciones. Además, DORA y NIS2 requieren la implementación de planes de seguridad cibernética eficaces, que incluyen la identificación de riesgos, la gestión de incidentes y actualización continua. La implementación de estas medidas fomentará una cultura de seguridad en las organizaciones, que mejorará considerablemente la conciencia sobre la necesidad de la ciberseguridad entre los empleados y otros miembros de la organización.
¿Creéis que estas dos normas pueden favorecer la inversión de las organizaciones en talento y tecnología sobre ciberseguridad?
En pocos meses, muchas empresas y organizaciones se van a ver obligadas a reorganizarse para cumplir con ambas normas y reforzar sus esquemas de seguridad de la información. Esto implica que las mismas deberán acometer inversiones en talento y tecnología para estar preparadas para responder a los requisitos de las nuevas normas de refuerzo de la ciberseguridad de la Unión Europea. Pero lo importante es entender que estas tareas e inversiones no son inútiles. A medida que se desarrolla la tecnología y aumenta la digitalización de los negocios, es muy importante avanzar también en la garantía de la seguridad de la información, que es el elemento esencial que permite funcionar a la economía digital.