esen

ASPECTOS DEL GOBIERNO CORPORATIVO SOBRE CIBERSEGURIDAD EN LA REGULACIÓN EUROPEA

Dr. Luis Hernando Cebriá - Universidad de Valencia

En la conformación de un régimen legal específico, y como punta de lanza en ciberseguridad, se ha de prestar atención, en primer lugar, al Reglamento (UE) 2022/2554, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero. Conocido por su acrónimo en inglés, el DORA (Digital Operational Resilience Act), con aplicación prevista a partir del 17 de enero de 2025, tiene como objetivo reforzar y armonizar a nivel europeo los principales requerimientos en esta materia para las entidades financieras y sus proveedores de servicios de tecnologías de la información y la comunicación. A tal fin, la regulación comunitaria exige que los órganos de dirección de las entidades financieras utilicen los medios y los procesos oportunos e impliquen a las personas de la organización a través de un conjunto de políticas que sirvan para la adaptación del marco de gestión del riesgo relacionado con estas tecnologías y de la “estrategia de resiliencia digital” general. Ello ha de incidir, a la postre, en la asunción por del órgano de dirección de la responsabilidad última en la gestión del riesgo relacionado con las TICs y en la asignación de recursos e inversiones relacionadas con ellas.

El objetivo de lograr un nivel elevado de resiliencia operativa digital se proyecta, por lo tanto, en dos sentidos. En el interno, el Reglamento incide en el enfoque estratégico para el riesgo relacionado con las TICs, cuya definición, aprobación y supervisión corresponde al órgano de dirección, dentro de la denominada “estrategia de resiliencia operativa digital”. A su vez, tiene desarrollo, en el plano material a través de las políticas encaminadas a garantizar el mantenimiento de unos niveles elevados de disponibilidad, autenticidad, integridad y confidencialidad de los datos y; en el dinámico, mediante la política de continuidad de la actividad en materia de TICs y de los planes de respuesta y recuperación y las actividades de formación y actualización de conocimientos y capacidades sobre los riesgos asociados y de verificación, corrección y revisión ante incidentes graves.

Igualmente estas cuestiones tienen transcendencia en el plano organizativo por medio de la aprobación y revisión periódica de los planes de auditoría internos, las realización de auditorías y sus modificaciones significativas. En particular, aquellas entidades financieras que no sean microempresas han de establecer una “función independiente de control” de la gestión y la supervisión del riesgo relacionado con las TICs. Se trata, en suma, de un “modelo de tres líneas de defensa”, integrado por el órgano de administración, la “auditoría interna” y la “función de control”, como alternativa a otro “modelo interno de gestión y control de riesgos”. A tal efecto, el personal directivo responsable de las TICs tiene un deber de información periódico al órgano de dirección acerca de los aspectos relevantes relacionados en este área.

En el externo, ha de considerar, igualmente, la dependencia tecnológica de terceros y el registro de información de todos los acuerdos contractuales relativos al uso de servicios tecnológicos prestados por los proveedores de tales servicios. En concreto, el apartado tercero de su artículo 5 exige a aquellas entidades financieras, que no sean microempresas, la creación de un cargo para el seguimiento de los acuerdos celebrados con proveedores sobre el uso de servicios de TICs o la designación de un miembro de la alta dirección como responsable de supervisar la exposición al riesgo correspondiente y la documentación pertinente. Ello conduce a una “estrategia global multiproveedor” en materia de TICs, bien a nivel de grupo o de entidad, que muestre las dependencias clave de los proveedores y explique los motivos que subyacen en la contratación de una combinación de proveedores de servicios. Sin perjuicio de la responsabilidad de la verificación del cumplimiento normativo en esta materia de gestión del riesgo, las entidades financieras igualmente pueden trasladar esta labor a empresas externas o de su mismo grupo.

En este marco de gestión del riesgo relacionado con las TICs, las estrategias, las políticas, los procedimientos y los protocolos de “resiliencia operativa digital” han de proteger los activos de información y el resto de activos vinculados, incluidos el software, el hardware y los servidores, así como los componentes y las infraestructuras físicos, como los centros de datos y otras zonas sensibles. Con ello el Reglamento trata de protegerlos de eventuales daños y del acceso o uso no autorizados, por ejemplo, la información personal que sea objeto de registro por las entidades financieras. Este marco normativo, reforzado para aquellas entidades financieras que no sean microempresas, se completa, como regulación sectorial, con medidas de control, que se extienden a las facultades de revisión y de inspección de documentación, y con medidas correctoras y sanciones administrativas a los miembros del órgano de dirección y a las demás personas físicas que, conforme al Derecho nacional, sean responsables de su infracción.

Con una visión distinta se ha de hacer mención de la Directiva UE 2022/2555 conocida como NIS 2, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, que ha de ser objeto de trasposición, a más tardar, el próximo 17 de octubre de 2024. Esta directiva, que entre otros aspectos incluye medidas específicas de gobierno corporativo de la ciberseguridad, se ocupa de la gestión de riesgos de ciberseguridad e impone su supervisión a los órganos de dirección.

Con anterioridad, la directiva (UE) 2016/1148, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información, conocida como NIS (por las siglas en inglés, como Network Information System) introdujo medidas orientadas en este sentido. Como resultado, el Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, reclama el nombramiento de un responsable de la seguridad de la información en las organizaciones que reporte directamente a la alta dirección y que mantenga la debida independencia respecto de los responsables de las redes y los sistemas de información. Con todo, tan solo resulta de aplicación, en relación con el anterior decreto, a aquellas entidades que presten servicios esenciales dependientes de las redes y sistemas de información comprendidos en los sectores estratégicos y para la protección de las infraestructuras críticas, así como servicios digitales en los mercados en línea, motores de búsqueda en línea y servicios de computación en nube.

La Directiva UE 2022/2555 ahonda en estos aspectos en relación con su aplicación a las denominadas “entidades esenciales”, “entidades importantes”, “entidades críticas”, y “operadores de servicios esenciales”. A ellas añade los prestadores cualificados de servicios de confianza y registros de nombres de dominio de primer nivel y los proveedores de servicios de DNS y de redes públicas de comunicaciones electrónicas o de servicios de comunicaciones electrónicas disponibles para el público que sean consideradas medianas empresas y entidades públicas, entre otras. Entre las funciones de sus órganos de dirección y supervisión, en lo que atañe a la gestión de riesgos de ciberseguridad, la Directiva incluye los aspectos formativos sobre esta materia a sus empleados y su repercusión en los servicios proporcionados por la entidad. Con carácter general, comprende la adopción de las medidas técnicas, operativas y de organización adecuadas y proporcionadas para gestionar los riesgos que se planteen para la seguridad de los sistemas de redes y de información que utilizan dichas entidades en sus operaciones o en la prestación de sus servicios. Y ello a fin de prevenir o minimizar las repercusiones de los incidentes en los destinatarios de sus servicios y en otros servicios.

De este modo, la Directiva da carta de naturaleza, dentro de su deber de diligencia, a una evaluación del nivel de seguridad de los sistemas de redes y de información adecuado, en particular en relación con los riesgos, según el grado de exposición de la entidad, su tamaño y la probabilidad de que se produzcan incidentes y su gravedad, incluidas sus repercusiones sociales y económicas. Todo esto se ha de plasmar en la adopción de las medidas de protección necesarias en los sistemas de redes y de información y en el entorno físico de tales sistemas. De nuevo, el anterior planteamiento se traslada a las vertientes internas y externas de las medidas a adoptar en ciberseguridad. La interna incluye las políticas de seguridad de los sistemas de información y el análisis de riesgos; la gestión de incidentes; la continuidad de las actividades, como la gestión de copias de seguridad y la recuperación en caso de catástrofe; y la gestión de crisis. Sin perjuicio de las medidas de seguridad de acceso mediante las políticas y procedimientos relativos a la utilización de criptografía y, en su caso, de cifrado; la seguridad de los recursos humanos; las políticas de control de acceso y la gestión de activos; y el uso de soluciones de autenticación multifactorial o de autenticación continua y de sistemas seguros de comunicaciones de emergencias.

La faceta externa comprende, de otra parte, la seguridad de la cadena de suministro, incluidos los aspectos de seguridad relativos a las relaciones entre cada entidad y sus proveedores o prestadores de servicios directos y la seguridad en la adquisición, el desarrollo y el mantenimiento de sistemas de redes y de información, incluida la gestión y divulgación de las vulnerabilidades. En este aspecto, resultan sensibles las cuestiones relativas a cada proveedor y prestador de servicios directo y la calidad general de los productos y las prácticas que sigan en materia de ciberseguridad, incluidos sus procedimientos de desarrollo seguro. Además, la Directiva incluye las evaluaciones coordinadas de los riesgos de seguridad de las cadenas de suministro críticas y a la adopción de las medidas correctoras apropiadas y proporcionadas necesarias.

Estos esquemas se ha de completar con las obligaciones de notificación por parte de las entidades esenciales e importantes a los organismos competentes acerca de cualquier incidente que tenga un impacto significativo en la prestación de sus servicios, de modo que tal comunicación actué como una suerte de alerta temprana, según el procedimiento previsto en la Directiva. A ello se une que los Estados miembros podrán exigir a las entidades esenciales e importantes que utilicen productos, servicios y procesos de TICs singulares, desarrollados por la entidad esencial o importante o adquiridos a terceros, que estén certificados en virtud de un esquema europeo de certificación de la ciberseguridad.

A la espera de su correspondiente entrada en vigor y transposición, la regulación europea en esta sede da muestra de la vitalidad de la ciberseguridad como una materia que tiene una creciente presencia entre los riesgos que afrontan las organizaciones empresariales, pero no solo estas, sino también en cualquier usuario de las TICs. La necesidad de adaptación de las estructuras de gobierno corporativo se advierte, con singular intensidad, en las entidades financieras, así como en los listados de las “entidades esenciales”, “entidades importantes”, “entidades críticas”, y “operadores de servicios esenciales” que acuden a estos servicios digitales, así como a sus proveedores. De esta suerte, los protocolos y estrategias “de resiliencia operativa digital”, en la gestión de riesgos de ciberseguridad, se desenvuelven tanto en el plano interno organizativo, como, incluso con mayor intensidad, en las relaciones con los proveedores de estos servicios y en la seguridad de la cadena de suministro y en previsión de los incidentes que puedan afectar a sus actividades. Buen ejemplo de ello es la “pantalla azul de la muerte” que el pasado 19 de julio afectó al funcionamiento de los sistemas operativos de relevantes entidades por la deficiente implementación de un software diseñado para evitar, precisamente, ciberataques en sus sistemas informáticos.