Si echamos la vista atrás, hace apenas unos años todo lo que rodeaba a la ciberseguridad era territorio exclusivo de los ingenieros de sistemas y los responsables de seguridad. Igualmente, hubiera sido impensable una norma publicada en el BOE (como es el caso del Anexo del RD 43/2021) que contuviera las definiciones de términos tales como “ciberseguridad”, “espacio digital”, “Phishing” o “Cross Site Scripting XSS”, entre otras muchas.
De hecho, todavía en muchas organizaciones las cuestiones relacionadas con la ciberseguridad son terreno vedado a los equipos legales y se siguen abordando exclusivamente desde una perspectiva tecnológica y de seguridad, olvidando que antes, durante y después de un ciber-incidente se pueden producir impactos con consecuencias legales que, en muchas ocasiones, van mucho más allá de la paralización o fallo de los sistemas informáticos, como luego veremos.
Como suele ocurrir con muchas áreas de la actividad económica, también en el mundo de la ciberseguridad la realidad ha ido muy por delante de la regulación y de la supervisión, de manera que solo recientemente la Unión Europea primero y los Estados miembros después han empezado a regular determinados aspectos vinculados con la seguridad de los Sistemas y las Redes. Nos referimos a la llamada Directiva NIS (UE 2016/1148), que ha sido objeto de transposición por los Estados Miembros y, en concreto, en España a través del Real Decreto-Ley 12/2018 sobre Seguridad de las Redes y Sistemas de información desarrollado, a su vez, por el reciente RD 43/2021.
NIS es una normativa horizontal que afecta indiferenciadamente a las empresas que tengan la condición de operador de servicios esenciales, siempre que presten servicios en determinados sectores identificados como numerus clausus en la norma, como son, entre otros, los sectores estratégicos de energía, transporte, salud, sistema financiero, agua, e infraestructuras digitales.
NIS representa una nueva regulación que establece un conjunto de (i) obligaciones/régimen jurídico vinculante, (ii) órganos/entidades administrativas con competencias de supervisión y sanción, (iii) sujetos regulados/obligados por una relación de sujeción especial y (iv) un marco sancionador para el caso de incumplimiento.
Se trata, realmente, de un cambio de paradigma relevante, ya que en poco tiempo la ciberseguridad ha alcanzado la condición de “sector regulado” con las consecuencias que ello lleva consigo. Además, en el ámbito financiero existe un proyecto de normativa conocida como DORA (Digital Operational Resilience Act) que impone obligaciones adicionales en materia de ciberseguridad que van a suponer un cambio en la aproximación que las entidades financieras hacían a estas materias y que extiende sus efectos no solo a los propios operadores financieros (bancos, aseguradoras, gestoras de IIC o activos financieros, etc.…), sino a los propios proveedores de servicios IT que sean considerados críticos.
Todo lo anterior, unido a que nos encontramos en un contexto en el que el número de ciberincidentes se ha multiplicado exponencialmente y que existe un riesgo real de afectación a servicios esenciales, nos ha llevado a una necesaria aproximación legal a las cuestiones de ciberseguridad, tanto desde el punto de vista del cumplimiento de la nueva regulación surgida como desde la perspectiva de los impactos legales que los ciber-incidentes pueden conllevar, ya sea en términos de incumplimiento de obligaciones GDPR, responsabilidad contractual y extracontractual, riesgo reputacional de la empresa, gestión de la responsabilidad de los administradores y, por último, pero no menos importante, la responsabilidad penal de la persona jurídica, ya que conforme al Código Penal español los delitos de daños informáticos y revelación pueden llegar a arrastrar la responsabilidad penal de las empresas.
Es cierto que en los últimos años las empresas han invertido -y siguen invirtiendo- grandes sumas en mejorar su ciberresiliencia tecnológica, lo que se traduce en mejoras de sus sistemas para hacer frente y desafiar la capacidad criminal de los ciberdelicuentes. Ahora bien, como antes decíamos, las cuestiones de ciberseguridad han dado el salto al mundo legal/regulatorio hasta el punto que el Real Decreto 43/2021 define la Ciberseguridad como: “la capacidad de las redes y sistemas de información de resistir, con un nivel determinado de fiabilidad, toda acción que comprometa la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o tratados, o los servicios correspondientes ofrecidos por tales redes y sistemas de información o accesibles a través de ellos”. Por su parte, el Instituto Nacional de Ciberseguridad (INCIBE) define la ciber-resiliencia como “la capacidad para resistir, proteger y defender el uso del ciberespacio de los atacantes“.
De la propia definición legal se desprende que esa capacidad de resistir afecta a la autenticidad, integridad y confidencialidad de los datos y/o puede impactar en los servicios ofrecidos a terceros, por lo que una brecha de seguridad provocada por un ciber ataque puede tener consecuencias legales y regulatorias relevantes para las compañías por daños a terceros, riesgo reputacional, sanciones administrativas, ect.
Así, las preguntas que debe hacerse el CEO de cualquier compañía son: ¿es mi empresa legalmente ciber-resiliente? ¿está preparada legalmente para gestionar un ciberincidente? ¿cuenta con manuales, procedimientos, marco decisorio, personal formado o recursos suficientes para “resistir” legalmente un ciberincidente?.
La ciber-resiliencia legal sería la capacidad de las organizaciones para resistir, anticipar, absorber, adaptarse y/o recuperarse de manera rápida a las consecuencias legales de un ciberataque.
Una empresa será o no ciber-resiliente en la medida en que pueda (i) diseñar y/o adaptar, en su caso, el modelo de gobierno para la toma de decisiones ante incidentes de ciberseguridad, (ii) proteger la responsabilidad por acción u omisión de los miembros del órgano de administración y dirección en la toma de decisiones relativas a la gestión del incidente, (iii) proporcionar soporte legal adecuado y continuo a los responsables de adoptar decisiones en base a un Plan de Respuesta Legal ante incidentes en todas las líneas de negocio y jurisdicciones afectadas de forma coordinada y (iv) establecer una estrategia de gestión frente a potenciales reclamaciones de terceros o, en su caso, contra terceros a causa del ciberincidente.
La enseñanza que la experiencia en el asesoramiento en ciber-incidentes nos ha dejado es que aquellas organizaciones que han abordado seriamente y con anticipación los aspectos legales descritos han sido capaces de impactar y gestionar con criterios preventivos las potenciales consecuencias gravosas de un ciber-incidente, tomando decisiones en plazo en un marco previsible de actuación y conforme a procedimientos previamente aprobados.
La ciber-resiliencia legal completa la ciber-resiliencia tecnológica como parte inescindible de la misma, de manera que solo aquellas compañías que aborden conjunta y coordinadamente ambos aspectos de la ciberseguridad podrán considerarse integralmente ciber-resilientes.
