En una sociedad cada vez más interconectada, los riesgos de sufrir un ciberataque crecen exponencialmente. Por ello, es necesario tomar una serie de medidas para controlar todos los procesos de la empresa que pueden ser objetivo de los ciberdelincuentes.

Y para llevar a cabo de una forma óptima toda esta serie de medidas, las distintas administraciones nacionales e internacionales diseñan normativas que ayudan a su implantación.

Ante lo “novedoso” del mundo del cibercrimen las autoridades se afanan en diseñar una normativa uniforme y práctica. Sin embargo, a día de hoy, aún existe gran dispersión y son numerosas las normativas en esta materia, lo que puede dificultar su aplicación por parte de las empresas.

En este artículo analizamos la importancia de la normativa de ciberseguridad y su cumplimiento, cuáles son las principales normativas en España y a nivel internacional, las medidas esenciales para protegerse de los ciberataques, o la importancia de los seguros cibernéticos, tanto para prevenir ataques, como para el cumplimiento normativo.

¿Qué es la normativa de ciberseguridad y por qué es importante?

La normativa de ciberseguridad regula todos los aspectos relacionados con cualquier tipo de ataque o anomalía que ponga en riesgo la seguridad de una empresa o los datos que esta maneja, especialmente los relativos a datos personales de los ciudadanos.

Tiene, por tanto, un doble objetivo. Por un lado, contribuir a salvaguardar la integridad de los sistemas de información de las empresas, siempre expuestas a cualquier ataque cibernético en el amplio espectro de las telecomunicaciones.

Y, por otro lado, la normativa busca proteger los datos personales de los ciudadanos que manejan las empresas. Su acceso a personas ajenas a la organización, o con malas intenciones, puede suponer un perjuicio para los ciudadanos.

En una sociedad cada vez más interconectada, los delitos cibernéticos se han convertido en una constante. Los ciberdelincuentes van siempre un paso por delante de quienes se han de encargar de proteger los sistemas y por ello, el establecimiento de una normativa que ayude a prevenir y mitigar sus consecuencias resulta fundamental en la sociedad actual.

Principales normativas de ciberseguridad y su impacto en las empresas

En España existe desde hace años el denominado Código de Derecho de la Ciberseguridad, publicado en el Boletín Oficial del Estado, y que ha sido actualizado recientemente, el pasado 26 de noviembre de 2024. Este compendio recoge las principales normas a tener en cuenta con relación a la protección del ciberespacio.

En este código se hace referencia a numerosas leyes, entre otras:

• La Ley 36/2015, de 28 de septiembre, de Seguridad Nacional, que regula los principios y organismos clave, así como las funciones que deberán desempeñar para la defensa de la seguridad nacional.
• La Orden TIN/3016/2011, de 28 de octubre, por la que se crea el Comité de Seguridad de las Tecnologías de la Información y las Comunicaciones del Ministerio de Trabajo e Inmigración.
• La Ley 9/2014, de 9 de mayo, Ley General de Telecomunicaciones.
• O la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.

RGPD: cómo garantiza la protección de datos personales en Europa

El Reglamento General de Protección de Datos (RGPD) entró en vigor en mayo de 2016, aunque con la moratoria de su aplicación, comenzó a tener vigencia real el 25 de mayo de 2018.

Se trata de una amplia normativa que busca proteger los datos personales de las personas que viven en la Unión Europea y se aplica, tanto a empresas con sede en la UE, como a aquellas que, no teniéndola, su actividad se dirige a ciudadanos europeos.

Protege específicamente el tratamiento de los datos personales de personas físicas, no jurídicas, como nombre y apellidos; dirección; número de documento de identidad/pasaporte; ingresos; perfil cultural; dirección de protocolo internet (IP) o datos en poder de hospitales o médicos.

Tienen una categoría especial de protección, y por lo tanto las empresas no los pueden tratar, los datos de origen racial o étnico; orientación sexual; opiniones políticas; convicciones religiosas o filosóficas; afiliación sindical; datos genéticos o datos de condenas e infracciones penales.

La Ley de Protección de Infraestructuras Críticas

La Ley de Protección de Infraestructuras Críticas de España (Ley 8/2011) es una normativa que establece el marco para la protección y seguridad de las infraestructuras esenciales, que son aquellas que garantizan servicios básicos para la sociedad, como energía, transporte, agua, comunicaciones o salud.

El objetivo principal de esta ley es prevenir y mitigar riesgos que puedan interrumpir el funcionamiento de dichas infraestructuras, ya sea por amenazas naturales, accidentes o actos malintencionados, como terrorismo o ciberataques.

La normativa establece los criterios para identificar estas infraestructuras críticas, asigna responsabilidades a los operadores y Administraciones, y promueve la elaboración de planes de seguridad y contingencia para garantizar su funcionamiento en situaciones de crisis.

Otras normativas internacionales relevantes en ciberseguridad

A nivel europeo, la primera normativa sobre ciberseguridad fue la Directiva sobre Seguridad de Redes y Sistemas de Información Directiva NIS (2016/1148). Se centraba, al igual que nuestra Ley de Protección de Infraestructuras Críticas, en sectores clave de la actividad económica, como energía, transporte, salud y banca y establecía requisitos de seguridad para operadores de servicios esenciales y proveedores de servicios digitales.

Esta norma fue revisada y actualizada en la denominada NIS 2 (2022/2555), fruto del importante avance de la transformación digital a raíz del COVID. La nueva norma amplía el alcance y los requisitos de la anterior, abarcando más sectores y organizaciones y reforzando las medidas de ciberseguridad, estableciendo sanciones más estrictas.

Además, en junio de 2019 entró en vigor el Reglamento de Ciberseguridad de la UE, que introdujo un sistema de certificación de productos, servicios y procesos de tecnologías de la información y de la comunicación para toda la Unión Europea, y un mandato nuevo y reforzado para la Agencia de la UE para la Ciberseguridad.

Cumplimiento normativo: medidas técnicas y organizativas esenciales

Sistemas de gestión de la seguridad de la información (SGSI)

El concepto clave de un SGSI es el diseño, implantación y mantenimiento de un conjunto de procesos o políticas para gestionar de manera eficiente la accesibilidad a la información que maneja una empresa. Se trata, en definitiva, de asegurar la confidencialidad, integridad y disponibilidad de los activos de información, minimizando a la vez los riesgos de seguridad de la información. Los SGSI deben mantenerse constantemente actualizados para no perder su eficacia.

Monitoreo, prevención y respuesta ante incidentes de ciberseguridad

Para cumplir con la normativa en materia de ciberseguridad, las empresas han de adoptar medidas de prevención que incluyan el monitoreo constante de la actividad de sus sistemas de información, con el objetivo de detectar de inmediato cualquier alteración que denote una brecha de seguridad.

Así mismo, es fundamental tener un plan ante cualquier incidente de ciberseguridad, en el que queden definidas todas las posibles respuestas ante dicho incidente y poder actuar de manera rápida y eficaz, como requieren este tipo de acontecimientos.

Formación y concienciación como base del cumplimiento normativo

Pero, sin duda, la mejor herramienta de prevención es la formación y concienciación de todo el personal de la empresa. No solo de los responsables del departamento de tecnologías de la información, sino de cualquier usuario que utilice los recursos informáticos corporativos. Y, por supuesto, la concienciación de todo el personal de la importancia de cumplir con los protocolos que eviten cualquier brecha de seguridad.

Ciberseguridad y seguros: herramienta clave para mitigar riesgos

Cómo los ciberseguros complementan el cumplimiento normativo

A pesar de todas las medidas que pueda poner en marcha una empresa para evitar incidentes de seguridad en sus sistemas de información, no existe el riesgo cero y, siempre es posible ser víctima de un ciberataque.

Ante esta situación, contar con un seguro de ciberseguridad contribuye a mitigar y afrontar las posibles responsabilidades, pérdidas y gastos que emanan de un ciberataque.

Coberturas específicas de ciberseguros frente a ciberataques y sanciones legales.

Los ciberseguros cuentan con un conjunto de variadas coberturas que cubren todos los ámbitos que puedan ser afectados por un ciberataque. Desde daños en los equipos, costes de interrupción del negocio o gastos de gestión de la crisis.

En cuanto a coberturas específicas que protegen del posible incumplimiento de la normativa en materia de seguridad de la información, podemos encontrar, entre otras:

• Responsabilidad civil. Ofrece protección frente a los daños y perjuicios producidos a terceros a consecuencia de un ciberataque. Incluye la responsabilidad cibernética y de privacidad.
• Defensa jurídica ante procedimientos legales y multas reglamentarias.
• Costes de notificación y mitigación de violación de la privacidad.