Opinión | La ciberseguridad en las empresas

A lo largo de estos últimos días, ha salido a la luz pública un informe análisis que tiene por objeto indagar sobre los temas que más preocupan a los Abogados de empresa, concluyendo que la ciberseguridad es la mayor preocupación para casi la mitad de los abogados mencionados. Evidentemente, no les falta razón.

En esa línea, el pasado 14 de enero del 2025, el Consejo de Ministros presentó un Anteproyecto de Ley que tiene por objeto, entre otras cosas, transponer al ordenamiento nacional la Directiva 2022/2555 del Parlamento Europeo y del Consejo (NIS-2) que tenía como fecha límite para su transposición el pasado 17 de octubre del 2024, Directiva relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión.

Sin perjuicio de que, como resulta habitual, ha transcurrido la fecha señalada, a mi juicio debemos recibir gratamente la iniciativa del Consejo de Ministros de llevar al ordenamiento jurídico interno los postulados de la Directiva citada, por cuanto sitúa a la ciberseguridad en uno de los objetivos fundamentales del Estado en beneficio de la seguridad y del funcionamiento eficaz de la economía.   

El Anteproyecto aprobado el 14 de enero, pretende, por un lado, constituir el Centro Nacional de Ciberseguridad que se encargará de la dirección, impulso y coordinación en la materia, garantizando la cooperación intersectorial y transfronteriza con otras autoridades competentes y, por otro lado, obliga a determinadas entidades, especialmente aquellas que operan en los sectores de energía, el transporte, banca y mercados financieros… a designar un responsable de la seguridad de la información y a realizar una evaluación individualizada de su riesgo y poner en marcha una serie de actuaciones para garantizar y elevar los niveles de seguridad de sus redes y sistemas de información y prevenir el riesgo de incidentes.

Sin perjuicio de que resulta, en principio positivo, la creación de un Centro Nacional, cabe destacar que el presente Anteproyecto atribuye a las empresas una nueva obligación con la creación de un nuevo cargo, el de Responsable de Seguridad de la información, posición que me recuerda al responsable del sistema de los canales de denuncia.

Por tanto, con la creación de estas nuevas figuras, realmente se materializa que tanto la ciberseguridad como el Compliance constituyen dos de los grandes retos para las empresas. Recordemos, que todas las empresas con más de 50 trabajadores están obligadas a tener un canal de denuncia lo que supone trasladar a las mismas la necesidad de respetar el derecho en su integridad. 

Como consecuencia de lo anterior, parece aconsejable que las empresas se anticipen al Anteproyecto y comiencen a diseñar la figura del Responsable de Seguridad por cuanto, hoy en día, resulta complejo operar en la red sin altos estándares de seguridad y sin un responsable que pueda actuar con inmediatez ante cualquier incidencia.

Sin embargo, el Anteproyecto también puede ser objeto de crítica por cuanto no canaliza adecuadamente la actuación de los Juzgados o del Ministerio Fiscal ante ataques de esta naturaleza. El Anteproyecto únicamente prevé que la Oficina de coordinación de Ciberseguridad comunicará al Ministerio Fiscal aquellos incidentes de seguridad que revistan carácter presuntamente delictivo, así como trasladará la información a las Unidades Orgánicas de Policía Judicial correspondientes.

No obstante, a mi juicio, resulta muy frecuente al día de hoy que las empresas, cuando sufren un ataque de esta naturaleza, acudan al Juzgado de Guardia, al Ministerio Fiscal e incluso a las Fuerzas de Seguridad si bien la reacción de todos ellos suele ser muy lenta debido generalmente a la falta de medios.

Por ello, entiendo que lo más adecuado es que se habilite por medio de la Ley que tanto la Oficina de Ciberseguridad como las empresas puedan trasladar los hechos a los Juzgados de Guardia para que estos estén obligados a adoptar de forma inmediata las primeras diligencias tendentes a neutralizar el delito y a identificar a los responsables.

Hoy en día, los Juzgados de Guardia no suelen practicar actuación alguna cuando conocen hechos de esta naturaleza. Si realmente se quiere garantizar la ciberseguridad es preciso que se habiliten actuaciones inmediatas por parte de los poderes públicos ya que en caso contrario el Anteproyecto solo trasladará obligaciones a las empresas e intenciones a los poderes públicos.