El Instituto Nacional de Ciberseguridad de España en su Balance de Ciberseguridad 2022 identifica 118.820 incidentes de ciberseguridad en España, un 9% más respecto al año anterior, siendo de ellos 546 a operadores estratégicos.
Y es verdad que no hay día que no escuchemos noticias que hagan referencia a un problema grave de ciberseguridad. Estos últimos días veíamos como los ciberdelincuentes que atacaron el Hospital Clinic de Barcelona habían puesto los datos médicos de los pacientes a la venta en la red. O el ciberataque a Ferrari, o la detención de Alcasec, amigo del pequeño Nicolás y que accedió a datos bancarios de más de 600.000 personas.
Ahora mismo la inteligencia artificial más avanzada necesita sólo tres segundos de audio para imitar la voz de una persona con un nivel de parecido asombroso, aspecto del que la Policía Nacional alertó en el pasado y muy interesante II Congreso de Ciberseguridad de Andalucía celebrado en FYCMA en Málaga, en la medida en la que chatbots hacen ya todo el proceso por el que te contactan, imitan la voz de un familiar pidiendo dinero por una necesidad urgente (deepfake) recibiendo el cobro de las transferencias de aquellos que pican en el anzuelo.
Es por ello que no extraña que la Unión Europea tenga como uno de los elementos básicos estructurales mejorar la regulación en materia de ciberseguridad, y en particular, que haya publicado el pasado 27 de diciembre la Directiva 2022/2555 (denominada NIS 2) y el Reglamento 2022/2554 (denominado DORA) normas que vienen a mejorar y armonizar el nivel de protección a nivel de la Unión.
La primera, que obliga a los estados a transponer su contenido antes del 17 de octubre de 2024, tiene por objetivo eliminar divergencias entre estados miembros, establecer mecanismos de cooperación y aumentar la ciberseguridad permitiendo a los estados establecer obligaciones más exigentes cuando implementen la norma.
Los estados tendrán que establecer una estrategia nacional de ciberseguridad, designar autoridades, gestión de incidentes y equipos de respuesta (CSIRT), diseñar un plan nacional de respuesta a incidentes y crisis de ciberseguridad, cooperación a nivel europeo…
Obligará a todas las empresas (menos a algunas de tamaño pequeño que por su actividad no sean relevantes) así como a las administraciones públicas (a excepción de las locales) a establecer medidas de gobernanza, de gestión de riesgos, notificación, intercambios de información, sistemas de certificación y normalización…
El segundo, de efecto directo, ya en vigor pero que no será de aplicación hasta el 17 de enero de 2025, va dirigido a elevar el nivel común de resiliencia operativa digital estableciendo requisitos uniformes en ciberseguridad para las empresas del sector financiero, si bien de forma proporcional a su tamaño y perfil de riesgo, así como la naturaleza, escala y complejidad de sus servicios, actividades y operaciones.
Establece medidas de gobernanza, gestión del riesgo, auditorías internas, obligaciones de identificación y clasificación de responsabilidades en materia TIC, mecanismos de detección, políticas de respuesta y recuperación, todo ello para las empresas del sector financiero.
En cualquier caso, y al margen del severo régimen sancionador que establece la normativa que viene en caso de incumplimiento, lo cierto es que en materia de ciberseguridad, como en la vida misma, más vale prevenir que curar porque las sanciones poco importarán cuando el ciberataque ya esté ejecutado. No olvidemos que sólo hay dos tipos de empresas: las que ya han sufrido algún ciberataque y las que lo sufrirán en el futuro.