Las brechas de seguridad provocadas por soluciones de ciberseguridad no europeas se están convirtiendo en una realidad para muchas empresas. Europa está intensificando su respuesta a esta amenaza mediante nuevas normativas, convirtiendo la soberanía europea en ciberseguridad una prioridad. El objetivo es claro: reforzar la resiliencia europea, en particular de las infraestructuras críticas, y proteger los datos de los ciudadanos europeos.
A primera vista, las aspiraciones de soberanía europea pueden parecer alejadas de las preocupaciones cotidianas de las empresas, pero la realidad es que les afectan a diario. Sin embargo, la concienciación sobre esta problemática continúa aumentando y el 30% de los CISO de las empresas del CAC 40 francés ya están convencidos de los riesgos que plantean los proveedores de soluciones extranjeros. En definitiva, mitigar los riesgos asociados a las soluciones de ciberseguridad extranjeras es ya un verdadero reto para las empresas.
Cumplir las obligaciones legales y garantizar que se satisfacen todos los requisitos de conformidad se ha convertido en un gran reto para todas las empresas y organizaciones. Y para reforzar la soberanía europea en materia de ciberseguridad, la Unión Europea está sacando numerosas normativas nuevas.
Entre ellas, la que más afecta directamente a la ciberseguridad de las compañías es el Reglamento General de Protección de Datos (RGPD), un texto al que están sujetas todas las empresas que procesan datos personales de ciudadanos de la UE. En concreto, exige a las empresas que protejan los datos personales frente a posibles violaciones de datos y ciberataques mediante la adopción de medidas de seguridad adecuadas. Si una empresa no cumple los requisitos del RGPD financiero, se prevén sanciones de hasta el 4% de las ventas anuales mundiales de la empresa o 20 millones de euros.
Sin embargo, el mundo cibernético y las empresas con sede en Europa deben prepararse para cumplir la actualización de la directiva sobre ciberseguridad (conocida como NIS2), cuya llegada traerá nuevas y aún más pesadas obligaciones y que se ha de transponer a todas las legislaciones nacionales antes de septiembre de 2024,
La NIS2 pretende garantizar la seguridad de las redes y los sistemas de información. Más estricta que la Directiva NIS de 2016, su predecesora, se aplica a una gama más amplia de sectores y empresas, por lo que cumplirla se ha convertido en una cuestión urgente para la mayoría de las empresas. La NIS2 impone elevados requisitos de seguridad, en particular exige la creación de una lista de medidas de gestión de riesgos e introduce la obligación de que las empresas notifiquen los incidentes significativos en un plazo de 24 horas.
Con la entrada en vigor de la NIS2, las empresas se verán obligadas a llevar su ciberseguridad al siguiente nivel para cumplir los requisitos de conformidad. Ante esto, la soberanía europea se posiciona como la vía clave para aliviar los requisitos de cumplimiento que pesan sobre las empresas, evitando así que estas se vean abrumadas por las diferentes normas europeas en vigor. La mayoría de las soluciones de ciberseguridad europeas permiten cumplir con los requisitos de ISO/IEC 27001, GDPR y NIS2, lo que no siempre ocurre con las soluciones de ciberseguridad fuera de Europa.
En un contexto marcado por el crecimiento exponencial de las ciberamenazas, y por el carácter transnacional de estas, la protección de los datos cobra especial relevancia por su vínculo directo con la soberanía europea en materia de ciberseguridad, una cuestión fundamental para garantizar que los datos y su uso no están sujetos a una ley extranjera. Porque cuando se trata de datos se aplican diferentes leyes dependiendo de su ubicación, de dónde se almacenan y de dónde se transfieren. Por tanto, las leyes de varios países pueden aplicarse a los datos recopilados por una empresa. Y, por desgracia, no todas las legislaciones están a favor de la protección de datos...
El caso más flagrante es el de la controvertida Cloud Act (Clarifying Lawful Overseas Use of Data Act) aprobada por EEUU en 2018, la ley de ciberseguridad extraterritorial más conocida. Con la Cloud Act, las autoridades estadounidenses pueden acceder a los datos almacenados en el extranjero por empresas estadounidenses, sin autorización del país donde se almacenan los datos. Como resultado, incluso si su empresa está ubicada en Europa, donde sus datos están protegidos legalmente, una solución de ciberseguridad estadounidense puede dar acceso a sus datos a las autoridades estadounidenses, si estos datos están almacenados en su nube.
Como consecuencia, el espionaje industrial a través de soluciones de seguridad extranjeras se está convirtiendo en un riesgo real para las empresas. Aquí es donde la soberanía europea ejerce una protección directa y da garantía de que los datos se quedan en Europa y de que la empresa está protegida frente a esta amenaza.
*** Pedro Morcillo es country manager de Tehtris para España.