¿Qué nos viene encima la próxima temporada 2024-2025?
Esta es una pregunta que nos solemos hacer a la vuelta de las vacaciones, la verdad es que nos vienen grandes novedades en diferentes campos vinculados a la TIC-LAW, (I.A. generativa, IoT, 5 G y 6 G, computación cuántica, etc.), pero hoy nos centraremos sólo en la inminente nueva regulación de la CIBERSEGURIDAD en empresas e instituciones.
En concreto hoy hablaremos de la transposición de la Directiva NIS II al Derecho español. La mencionada Directiva sobre Seguridad de la Redes y los Sistemas Informáticos (NIS 2), es la norma europea que regula la ciberseguridad en instituciones y empresas de la Unión actualizando y complementando a la NIS I original. En su día la transposición al derecho español de la NIS I ya nos trajo el famoso ENS, (Esquema Nacional de Seguridad), dicha norma vigente en la actualidad es de obligado cumplimiento para todo el sector público, sus colaboradores y por supuesto para todas las empresas e instituciones que sean o gestionen infraestructuras críticas, las cuales están también reguladas por su propia norma (Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas).
Una de las cuestiones más controvertidas de la transposición de la mencionada norma europea NIS I al marco estatal ENS fue en su día el posible régimen sancionador que podría comportar la no aplicación de las medidas de ciberseguridad obligatorias en redes y sistemas tecnológicos donde fuera de obligado cumplimiento el ENS.
Con el fin de presionar a los sectores afectados, la NIS II (Network and Information Security) contempla la posibilidad de establecer un régimen sancionador efectivo para el caso de que las empresas e instituciones incumplan las medidas de ciberseguridad que obliga la norma (en nuestro caso el ENS actual o la versión que lo sustituya en un futuro). En efecto en muchas ocasiones los ciberatacantes aprovechan brechas de seguridad ocasionadas por la falta de medidas seguridad adecuadas y propuestas según el ENS, para estas omisiones y otras cuestiones la NIS II, contempla un régimen sancionador que puede llegar a ser muy contundente.
En principio, en una incidencia de seguridad que afecte a la protección de datos personales, el régimen sancionador aplicable sería el establecido en el RGPD y nuestra conocida LOPDGDD. En concreto se aplicaría dicho régimen en el caso o cuando afecte a la disponibilidad la integridad o la seguridad de los datos personales pudiendo llegar las sanciones impuestas a los 20 millones de euros o al 5% de la facturación mundial. Hasta aquí lo que ya sabíamos, pero ¿que nos trae el nuevo Reglamento NIS II?, pues siguiendo los pasos de la normativa de protección de datos, lo que vienes encima es un nuevo régimen sancionador que se suma al de protección de datos y al de las otras legislaciones sobre seguridad y/o ciberseguridad como son la normativa DORA en el sector financiero o la Ley de Infraestructuras Críticas, e incluso la normativa sobre IA (Ley de Inteligencia Artificial-Reglamento EU de aplicación directa).
El problema que vemos es la intersección que la tecnología tiene en todas las normas, ya que un mismo tratamiento puede afectar a datos personales a ciberseguridad al uso de la Inteligencia Artificial, a administraciones públicas o infraestructuras críticas e incluso a la seguridad bancaria. Por tanto, podrían ser competentes para conocer y sancionar la AEPD, CCN, AESIA y en su caso el Banco de España como ente regulador de las instituciones financieras en España en aplicación de la normativa PS2 o la futura transposición de la normativa DORA.
En conclusión, con la futura e inminente transposición de la Directiva NIS II volvemos a entrar en un nuevo escenario de inseguridad jurídica extrema ya que se desconoce si se ha previsto una armonización y coordinación entre los diferentes órganos de control europeos, estatales y autonómicos (AEPD, ACPD, AVPD, AESIA, CCN, etc, etc,) donde por los mismos hechos o infracciones no se puedan aplicar dos o tres sanciones por diferentes órganos, rompiendo el mil pedazos el principio de nom bis in ídem (no sancionar dos veces por el mismo hecho, objeto y fundamento).
Mucho nos tememos que durante algún tiempo el criterio será el que se viene actuando hasta la fecha, el órgano de control que llegue primero se queda con la “presa”, conoce del expediente y procede a sancionar en su caso según su ámbito competencial. Esta situación puede generar serios problemas de igualdad y seguridad jurídica, ya que depende que órgano conozca de la materia tendrá que aplicar su régimen sancionador y no otro (p.e. si se aplica la LOPDGDD no se tendría que poder aplicar el de la Ley de IA (UE).
La conclusión es que, si no se pone remedio, la digitalización total y la incorporación de la IA, el IoT, el big data, el machine learning, etc en las empresas puede ser una especie de lotería en caso de incidencia o brecha de seguridad. El empresario o el responsable de una organización ante una incidencia de ciberseguridad se preguntará: ¿Quién vendrá a investigarme? ¿A quién notifico? ¿Quién me inspecciona? ¿Quién y cuantos me sancionan?
En resumen, si no se pune remedio, esto puede ser un caos…
Entendemos que la jurisprudencia y el precedente administrativo tiene mucho que decir en esta materia, y desde ATGROUP estaremos muy al tanto de las novedades y resoluciones que puedan afectar a nuestros clientes y colaboradores.
Os seguiremos informando.
Imagen generada con IA · 29 de octubre de 2024, 12:22 p.m.