La UE busca simplificar la normativa, pero en España las nuevas regulaciones permanecen paralizadas en el Congreso Leer La UE busca simplificar la normativa, pero en España las nuevas regulaciones permanecen paralizadas en el Congreso Leer
¿A quién acudiría si su empresa sufre un ciberataque? ¿A la Agencia Española de Protección de Datos? ¿Al Instituto Nacional de Ciberseguridad? ¿La Policía? ¿La autoridad regional de ciberseguridad de su comunidad? Se trata de una duda que, si no se tiene resuelta de antemano, puede hacerle perder segundos, minutos y horas preciosos a la hora de afrontar un ciberataque que puede terminar con una empresa, sobre todo si es pequeña. Por ello, cada vez más voces piden una ventanilla única que simplifique el proceso.
La maraña burocrática en esta cuestión se extiende por Europa, con una ley distinta en cada Estado, y en el caso español, como en muchos otros, la respuesta a la pregunta es depende. ¿Se trata de una empresa bancaria o de carácter crítico? Ahí, se deben enviar notificaciones al Banco Central Europeo, en los primeros, o a Incibe, los segundos y en casos graves. Por norma general, la respuesta correcta es a la Agencia Española de Protección de Datos y los usuarios afectados si hay brecha de datos. Como pueden ver, no es fácil.
«Todas las políticas públicas deben ir hacia crear una respuesta rápida en momentos de crisis. Tienes que saber perfectamente qué hacer. No puedes encontrarte que llamas a la Administración, hay cinco organismos y uno te manda a otro», explica en declaraciones a EL MUNDOCarlos López Blanco, presidente de la Fundación Esys, dedicada a la divulgación de la ciberseguridad en España.
En una línea similar se pronuncia Ollie Gower, responsable de Ciberseguridad de FTI Consulting en España: «Recibimos muchas preguntas por la notificación. A veces hay dudas, pero para eso estamos nosotros, para asesorar. Es importante contar con un experto independiente para la notificación y la investigación, ya que esto tranquiliza a los reguladores de que se está tomando el incidente en serio», señala el experto, que trabajó durante años en la agencia británica contra el cibercrimen.
Los temores de las empresas llegan en un momento con dos caras: por un lado, los crecientes requerimientos en ciberseguridad, con la directiva Nis2 en Bruselas que será traspuesta por España. Por otro, y al mismo tiempo, la Comisión Europea aboga públicamente por la simplificación de todo lo que tiene que ver con digital, pero especialmente la ciberseguridad.
La nueva ley española está bloqueada en el Congreso y busca crear una Agencia Española de Ciberseguridad que centralice estas demandas, un paso que va «en la buena dirección», señala López Blanco. «Nos parece que es un avance importante al establecer un centro coordinador, pero no único. Es un movimiento en la buena dirección, pero nos parece que debería ir más allá», señala.
«Una de las cosas a las que hemos dado más relevancia en nuestras alegaciones a la ley es pedir una ventanilla única. Las empresas cuando tienen un ataque o algo importante lo último que necesitan es complejidad administrativa«, continúa el presidente de la Fundación Esys, que alaba el modelo anglosajón, con una agencia única con capacidad de apoyo. «Es importantísimo tener a alguien a quien llamar y sepa y te diga: ‘Este ransomware ya lo conocemos porque otras empresas lo han tenido», remarca.
Las peticiones de Esys están ampliamente respaldadas en la industria. De hecho, empresas como Telefónica y Orange han incluido en sus últimas participaciones en consultas públicas europeas mensajes en esta dirección para establecer un mecanismo de notificación de ciberataques paneuropeos.
«Reportar incidentes es una de las mayores fuentes de carga administrativa, debido a los requerimientos diferentes y no coordinados de información según cada regulación y estado miembro», apunta en uno de estos documentos Telefónica. «Los requisitos para reportar incidentes deberían ser simplificados y homogenizados (…) Se debería establecer una notificación única para todos los estados miembros», apuntan por su parte los franceses.
De fondo, el creciente número de ciberataques a gestionar, un 32% más a nivel global según NTT Data, y las necesidades de inversión que tienen que hacer las empresas para adaptarse a la nueva normativa. «Las cosas están mejorando, pero demasiado despacio. En Europa hay 150.000 empresas dentro del ámbito del Nis2 con costes que ascenderán a cientos de miles de euros – ¡o potencialmente mucho más! – para lograr el cumplimiento. Es un reto porque hay requisitos bastante complejos», apunta Gower.
Según los cálculos del Gobierno español, las empresas tendrían que invertir 2.250 millones de euros para adecuarse a la nueva normativa.
Actualidad Económica // elmundo
