Opinión | La ciberseguridad en las empresas

Enrique Remón, socio del departamento de Procesal de CMS Albiñana & Suárez de Lezo, aborda en esta columna cómo la ciberseguridad preocupa a los abogados de empresa. Y cómo el Anteproyecto que transpone la Directiva NIS-2, exige a sectores clave designar un Responsable de Seguridad de la Información.

8 / 02 / 2025 05:35

A lo largo de estos últimos días, ha salido a la luz pública un informe análisis que tiene por objeto indagar sobre los temas que más preocupan a los Abogados de empresa, concluyendo que la ciberseguridad es la mayor preocupación para casi la mitad de los abogados mencionados. Evidentemente, no les falta razón.

En esa línea, el pasado 14 de enero del 2025, el Consejo de Ministros presentó un Anteproyecto de Ley que tiene por objeto, entre otras cosas, transponer al ordenamiento nacional la Directiva 2022/2555 del Parlamento Europeo y del Consejo (NIS-2) que tenía como fecha límite para su transposición el pasado 17 de octubre del 2024, Directiva relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión.

Sin perjuicio de que, como resulta habitual, ha transcurrido la fecha señalada, a mi juicio debemos recibir gratamente la iniciativa del Consejo de Ministros de llevar al ordenamiento jurídico interno los postulados de la Directiva citada, por cuanto sitúa a la ciberseguridad en uno de los objetivos fundamentales del Estado en beneficio de la seguridad y del funcionamiento eficaz de la economía.   

El Anteproyecto aprobado el 14 de enero, pretende, por un lado, constituir el Centro Nacional de Ciberseguridad que se encargará de la dirección, impulso y coordinación en la materia, garantizando la cooperación intersectorial y transfronteriza con otras autoridades competentes y, por otro lado, obliga a determinadas entidades, especialmente aquellas que operan en los sectores de energía, el transporte, banca y mercados financieros… a designar un responsable de la seguridad de la información y a realizar una evaluación individualizada de su riesgo y poner en marcha una serie de actuaciones para garantizar y elevar los niveles de seguridad de sus redes y sistemas de información y prevenir el riesgo de incidentes.

Sin perjuicio de que resulta, en principio positivo, la creación de un Centro Nacional, cabe destacar que el presente Anteproyecto atribuye a las empresas una nueva obligación con la creación de un nuevo cargo, el de Responsable de Seguridad de la información, posición que me recuerda al responsable del sistema de los canales de denuncia.

Por tanto, con la creación de estas nuevas figuras, realmente se materializa que tanto la ciberseguridad como el Compliance constituyen dos de los grandes retos para las empresas. Recordemos, que todas las empresas con más de 50 trabajadores están obligadas a tener un canal de denuncia lo que supone trasladar a las mismas la necesidad de respetar el derecho en su integridad. 

Como consecuencia de lo anterior, parece aconsejable que las empresas se anticipen al Anteproyecto y comiencen a diseñar la figura del Responsable de Seguridad por cuanto, hoy en día, resulta complejo operar en la red sin altos estándares de seguridad y sin un responsable que pueda actuar con inmediatez ante cualquier incidencia.

Sin embargo, el Anteproyecto también puede ser objeto de crítica por cuanto no canaliza adecuadamente la actuación de los Juzgados o del Ministerio Fiscal ante ataques de esta naturaleza. El Anteproyecto únicamente prevé que la Oficina de coordinación de Ciberseguridad comunicará al Ministerio Fiscal aquellos incidentes de seguridad que revistan carácter presuntamente delictivo, así como trasladará la información a las Unidades Orgánicas de Policía Judicial correspondientes.

No obstante, a mi juicio, resulta muy frecuente al día de hoy que las empresas, cuando sufren un ataque de esta naturaleza, acudan al Juzgado de Guardia, al Ministerio Fiscal e incluso a las Fuerzas de Seguridad si bien la reacción de todos ellos suele ser muy lenta debido generalmente a la falta de medios.

Por ello, entiendo que lo más adecuado es que se habilite por medio de la Ley que tanto la Oficina de Ciberseguridad como las empresas puedan trasladar los hechos a los Juzgados de Guardia para que estos estén obligados a adoptar de forma inmediata las primeras diligencias tendentes a neutralizar el delito y a identificar a los responsables.

Hoy en día, los Juzgados de Guardia no suelen practicar actuación alguna cuando conocen hechos de esta naturaleza. Si realmente se quiere garantizar la ciberseguridad es preciso que se habiliten actuaciones inmediatas por parte de los poderes públicos ya que en caso contrario el Anteproyecto solo trasladará obligaciones a las empresas e intenciones a los poderes públicos.   

Opinión | Frente al fraude tecnológico con IA, Europa está obligada a reaccionar

Vicente Magro, autor de “Guía práctica sobre delitos económicos”: “uno de los errores más frecuentes de los abogados es la calificación de los delitos”

ASCOM distingue con sus Premios 2026 al Observatorio de Integridad, a Alba López, a BBVA y Eroski (ex aequo) y a Luis Plaza López

Joaquín Fernández Moya, nuevo socio de Seguros y Reaseguros en CMS

Opinión | El conflicto permanente entre negocio y cumplimiento

Felipe García, nuevo vicepresidente de la World Compliance Association

Lo último en Firmas

CDL vikingo

Opinión | CDL: Dinamarca, el fraude a Hacienda «cum-ex» y los límites de la cosa juzgada inglesa (y II)

Estrecho de Ormuz

Opinión | El incendiario que vende extintores: Ormuz, tercer asalto, cuando prolongar la guerra es negocio

Miguel Ángel Blanco(2)

Opinión | Miguel Ángel Blanco: las 48 horas en que ETA quiso poner de rodillas al Estado

asdfgadsfa

Opinión | De nuevo, el mandato representativo

Miguel Ángel Blanco(1)

Opinión | El crimen que unió a millones de españoles: en memoria de Miguel Ángel Blanco