Tal como señalaba Marsh&McLennan en su MMC Cyber Handbook 2018. Perspectives on the next wave of cyber, a medida que los ataques contra sistemas informáticos han ido aumentando en los últimos años (en los últimos ocho han quedado expuestas, por estos motivos, más de 7,1 billones de identidades), los poderes públicos han ido reforzando y construyendo un marco legal cada vez más exigente en materia de ciberseguridad.
Dicho marco legal se enmarca, principalmente, en la rama del Derecho Administrativo, pese a que en otros ámbitos también promueve una cierta diligencia en este ámbito.
Por ejemplo, la Directiva de secretos comerciales exige expresamente que, para poder ejercitar las medidas y protecciones establecidas en la misma, el perjudicado haya implantado medidas razonables para garantizar el carácter secreto de la información, lo que evidentemente implica, ya no sólo medidas legales (habitualmente, acuerdos o cláusulas de confidencialidad), sino también organizativas y técnicas o de seguridad informática.
En Derecho Penal, tanto los delitos que implican el apoderamiento de datos de carácter personal, su utilización, modificación, etc., (art. 197 del Código Penal y subtipos), como el intrusismo informático y los daños en sistemas informáticos (arts. 263 y ss), implican la vulnerabilidad de medidas de seguridad (el acceso no debe haber sido autorizado), que lógicamente deberían ser suficientes y adecuadas al estado del arte y a los riesgos expuestos. También se exigiría una diligencia en estos casos por parte de la víctima.
Pero, volviendo a lo anterior, la norma más conocida, por su impacto en prácticamente cualquier sector y ámbito, es el Reglamento General de Protección de Datos, sobre el que ya se ha comentado mucho. No se ocupa dicha norma, no obstante, de la seguridad informática en sí, sino en la medida en que tiene incidencia en la protección de las personas físicas. Evidentemente se ocupa de la ciberseguridad, pero el enfoque y justificación de esta no es la propia seguridad de las redes y sistemas de la información.
Las obligaciones de protección de la seguridad de la información, como tal, se han ido introduciendo progresivamente para distintos ámbitos y operadores. En un primer momento, se exigió en los ámbitos afectos a la seguridad nacional e infraestructuras críticas de los Estados, posteriormente a servicios de seguridad privada, a proveedores de servicios electrónicos de confianza (firmas, sellos y certificados digitales), o a operadores de servicios de comunicaciones electrónicas (tanto al contenido como a los datos de tráfico y localización correspondientes a dichas comunicaciones).
Finalmente, y a la vista de la falta de armonización europea en materia de seguridad de la información y los riesgos que conlleva la circulación transfronteriza de datos en la Unión Europea, la Directiva NIS prevé en particular la aplicación concreta de medidas de seguridad específicas, incluyendo controles, gestión y notificación de incidentes más allá de las fronteras de un Estado para lo que se denominan “operadores de servicios esenciales” (determinadas empresas de los sectores de energía, transporte, banca, mercados financieros, sanitario, suministro y distribución de agua potable e infraestructura digital) o “proveedores de servicios digitales” (marketplaces, motores de búsqueda en Internet y servicios de cloud computing).
La importancia de dicha Directiva es que, por primera vez, se crea un instrumento para regular la ciberseguridad a escala europea, a raíz del cual los Estados Miembros deberán concretar las obligaciones específicas a partir de un estándar mínimo común. A fin de transponer dicha Directiva, el Gobierno aprobó el pasado 7 de septiembre el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.
La extensión de las exigencias en materia de seguridad informática ya no vendrá, por tanto, sólo determinada por la protección de datos de carácter personal, lo que no es poco, sino por la necesidad de proteger los sistemas en sí mismos.
Si no ha desarrollado e implantado una estrategia integral de seguridad informática, además de los perjuicios habituales que puede causar un ataque, ya sean la pérdida o exposición pública de información crítica, la paralización de sus actividades y el correspondiente lucro cesante (además de los costes de restablecimiento de la seguridad), el daño reputacional, las reclamaciones de terceros afectados, etc., debe añadirse el riesgo de sanciones por incumplimiento de una normativa que, no sólo obliga actualmente a disponer de medidas concretas en este sentido, sino que la tendencia es que el grado de exigencia se irá incrementando.
Nuestros profesionales del área Hiberus Cibersecurity son especialistas en soluciones de cualquier implicación legal tecnológica. Contacta con nosotros para un servicio ágil, eficaz y cercano, aporta a tu empresa unas medidas de prevención, seguridad y confianza en el cumplimiento y gestión del riesgo legal y de ciberseguridad de tu compañía.
Javier Prenafeta
Socio del despacho de abogados 451.legal
www.451.legal
Muy buena info