Ayer celebramos nuestro IV Foro de Asuntos Públicos y acabamos con una certeza: las empresas españolas afrontan un desafío de grandes dimensiones y un verdadero cambio de época en materia de ciberseguridad.
El Foro convocó a Maite Arcos (Directora General de la Fundación ESYS y miembro del Advisory Group de la Agencia de la UE para la Ciberseguridad – ENISA), Víctor Javier Ruíz de Diego (Portavoz del PSOE en la Comisión Mixta de Seguridad Nacional) y Mario Cortés (Portavoz del PP en la Comisión de Economía del Congreso). Perfiles distintos, pero todos ellos con mismo diagnóstico: lo que viene con NIS2, DORA y CER no es un trámite administrativo más ni un asunto de compliance: va a suponer nuevos retos críticos en la gobernanza empresarial, importantes recursos e inversiones y un cambio de mentalidad y cultura organizativa sin precedentes.
Pensemos en los números. España pasará de tener 200 entidades obligadas a más de 10.000. Diez mil organizaciones que tendrán que repensar cómo protegen sus operaciones, reportan incidentes y responden ante las autoridades. El tsunami regulatorio que llega de Europa ya no se va a jugar exclusivamente en los departamentos de IT, sino que va a formar parte como punto relevante y decisivo de la agenda de los consejos de administración.
Lo que quedó claro en la mesa:
- La transposición de las directivas y normas europeas tiene que hacerse bien, con consenso y escuchando al sector privado. Aquí no sirven prisas ni copiar-pegar la directiva europea sin adaptarla a nuestra realidad empresarial.
- Las compañías van a cargar con costes importantes, tanto económicos como operativos. Habrá que invertir, formar equipos y, sobre todo, cambiar mentalidades. Y también apoyar desde el sector público a compañías pequeñas y medianas para que la transición no sea excesiva para sus capacidades.
- Necesitamos coordinación entre organismos públicos. Las duplicidades y los requisitos contradictorios solo generan confusión y bloquean la implementación efectiva. De ahí la importancia de la creación de un Centro Nacional de Ciberseguridad que no sólo coordine todos los esfuerzos sino que armonice y exista una ventanilla única para compartir información.
- Se afronta un problema de falta de profesionales cualificados. Y no sólo a nivel técnico. Los propios consejeros necesitan formación para entender qué riesgos están asumiendo cuando votan en un consejo, y qué planes estratégicos y de contingencia se están impulsando desde la cúpula organizativa.
- El riesgo cero no existe. Prácticamente toda la economía ya es digital y por tanto, todas las organizaciones son potencialmente vulnerables. Hay que asumirlo. Incluso empresas que no están directamente reguladas acabarán teniendo que cumplir ciertos estándares si quieren seguir en las cadenas de suministro críticas.
¿Y ahora qué?
Podemos ver esto como una carga o como una oportunidad. Las organizaciones que integren la ciberseguridad en su estrategia de negocio, que la vean como un habilitador y no como un obstáculo, van a tener una ventaja competitiva. La mitad de las PYMES que sufren un ciberataque al año ya no existen. Y cada vez será más relevante tanto el riesgo sancionador como el riesgo reputacional, siendo este último uno de los activos intangibles más relevantes.
Desde Trescom llevamos tiempo defendiendo que los asuntos públicos no son un lujo, sino una necesidad. Todas las empresas tienen una dimensión social y política que gestionar. Y en ciberseguridad, como en tantos otros ámbitos, primero se construye confianza. Luego llega la influencia.
