Medio centenar de grandes empresas de Granada se ciberprotegen para adaptarse a la nueva ley

Dado que España va con retraso en la transposición de la norma a la legislación nacional, aún no está totalmente definido a qué empresas afectarán las nuevas obligaciones. La directiva define los sectores considerados «críticos» e «importantes». El primer grupo incluye sectores como la energía, el transporte, la banca, infraestructuras digitales, salud, administración pública y espacio. El segundo abarca servicios postales y de mensajería, gestión de residuos, fabricación de productos químicos, fabricación de productos sanitarios y producción, transformación y distribución de alimentos.

Todas las empresas públicas y las privadas de más de 50 trabajadores o con más de 10 millones de euros de facturación están obligadas a adaptarse a la directiva. Una de las novedades de la directiva es que también aplica a entidades con independencia de su tamaño, es decir, a pequeñas empresas y microempresas «que tengan un papel clave para la sociedad, la economía o para determinados sectores o tipos de servicios», advierte el Instituto Nacional de Ciberseguridad (Incibe).

«Entidades, por ejemplo, que sean proveedores únicos de un servicio esencial o si una perturbación en ellas puede tener repercusiones o riesgos significativos de carácter transfronterizo, los prestadores de servicio de registros de dominio y los prestadores cualificados de servicios de confianza», añade el organismo estatal.

Según Cámara Granada, en la provincia hay 269 empresas de más de 50 empleados (apenas el 1% del total) y 220 con más de 10 millones de facturación, pero el listado de las que pertenecen a los sectores afectados se reduce a medio centenar, cuantitativamente pocas pero con un gran peso en el PIBprovincial. En cambio, no tiene datos de cuántas pequeñas empresas deberían adaptarse a la nueva normativa.

En todo caso, la Cámara destacan el «gran esfuerzo en difusión, divulgación y formación» que realiza la entidad con las actividades de la Cátedra de Ciberseguridad de UGR, los Seminarios de IA y Ciberseguridad del proyecto Estratégico Incibe junto a la UGR y DaSCI y los talleres de la oficina AceleraPyme. También gestiona las ayudas del KIT Digital.

Javier Delgado, profesor de la Universidad de Granada y consultor de la spin-off Sinergia Ciberseguridad, cree por su parte que la entrada en vigor de la nueva normativa va a pillar a muchas empresas sin hacer los deberes.

¿Qué obligaciones tendrán las empresas afectadas? Para empezar, señala el especialista, realizar un análisis de riesgos exhaustivo «para identificar las vulnerabilidades y amenazas a las que se enfrenta la empresa». Después, implementar «políticas de seguridad robusta que aborden los riesgos identificados» en el control de acceso, la gestión de contraseñas, la protección contra malware o la seguridad de la red. Deben contar con un «plan de continuidad del negocio y recuperación ante desastres», un equipo de respuesta a incidentes y protocolos claros para la detección, análisis, contención, erradicación y recuperación de incidentes.

Las compañías deben evaluar con auditorías periódicas la seguridad de los proveedores y establecer requisitos de ciberseguridad para los contratos. La formación continua y la sensibilización del personal sobre las amenazas más comunes –phishing o ingeniería social– es otro de los puntos importantes de la norma. Además, las firmas deben implementar sistemas de monitorización para identificar actividades sospechosas (firewalls, antivirus con inteligencia artificial, etc); cifrar y proteger los datos sensibles y la información personal; y mantener el software y los sistemas operativos actualizados con los últimos parches de seguridad.

Un aspecto novedoso es la obligatoriedad de notificar a las autoridades incidentes graves de ciberseguridad en un plazo inferior a 24 horas y un informe en menos de 72 horas. Las vulneraciones de la directiva pueden implicar sanciones de hasta 10 millones de euros o el 2% de la facturación de la compañía y –esto es novedoso– pueden implicar responsabilidades por parte de los directivos.

Un problema para su aplicación es que aumenta los costes de empresas pequeñas que, a menudo, no tienen equipos de ciberseguridad propios. Javier Delgado subraya que Sinergia ofrece planes de formación de personal que a las empresas les salen gratis porque los financia al 100% la Seguridad Social. En cuanto al análisis de riesgos y la puesta en marcha de las herramientas de protección necesarias, resalta que el coste varía mucho en función del tamaño y el tipo de la empresa, pero sitúa la inversión mínima en una horquilla entre 2.000 y 3.000 euros.