«El 30% de los CISO de las empresas del CAC 40 ya están convencidos de los riesgos que plantean los proveedores de soluciones extranjeros «, según el Institut Choiseul*.
Las brechas de seguridad provocadas por soluciones de ciberseguridad no europeas se están convirtiendo en una realidad para muchas empresas. Europa está intensificando su respuesta a esta amenaza. Una nueva normativa europea sigue a otra, haciendo de la soberanía europea en ciberseguridad una prioridad. El objetivo es claro: reforzar la resiliencia europea, en particular de las infraestructuras críticas, y proteger los datos de los ciudadanos europeos.
A primera vista, las aspiraciones de soberanía europea pueden parecer alejadas de las preocupaciones cotidianas de su empresa. Sin embargo, le afectan a diario, y mitigar los riesgos asociados a las soluciones de ciberseguridad extranjeras es ya un verdadero reto para su empresa.
*La ciberseguridad, un requisito previo para la soberanía económica, junio de 2022
GDPR, NIS2… Cómo se enfrentan las empresas a los requisitos de cumplimiento europeos
Cumplir las obligaciones legales y garantizar que se satisfacen todos los requisitos de conformidad se ha convertido en un gran reto para todas las empresas y organizaciones. Y para reforzar la soberanía europea en materia de ciberseguridad, la Unión Europea está sacando numerosas normativas nuevas: NIS2, DORA, la Ley de Cibersolidaridad, la Ley de Ciberresiliencia… El Reglamento General de Protección de Datos (RGPD) sigue siendo el texto que más afecta actualmente a su negocio. Pero la llegada de la directiva NIS2 a nivel nacional (a más tardar en septiembre de 2024) traerá nuevas y aún más obligaciones. Sin embargo, hay una manera de aliviar las limitaciones de cumplimiento que pesan sobre las empresas.
El Reglamento General de Protección de Datos (RGPD) de la Unión Europea se aplica directamente a la ciberseguridad. Todas las empresas que procesan datos personales de ciudadanos de la UE están sujetas a él. En concreto, exige a las empresas que protejan los datos personales frente a posibles violaciones de datos y ciberataques mediante la adopción de medidas de seguridad adecuadas. Si una empresa no cumple los requisitos del GDPR financiero, se prevén sanciones de hasta el 4% de las ventas anuales mundiales de la empresa o 20 millones de euros.
Además, el mundo cibernético y las empresas con sede en Europa deben prepararse para cumplir la directiva NIS2. La NIS2 pretende garantizar la seguridad de las redes y los sistemas de información. Más estricta que la Directiva NIS de 2016, su predecesora, se aplica a una gama más amplia de sectores y empresas. Cumplirla se ha convertido en una cuestión urgente para la mayoría de las empresas. NIS2 impone elevados requisitos de seguridad, en particular exige la creación de una lista de medidas de gestión de riesgos e introduce la obligación de que las empresas notifiquen los incidentes significativos en un plazo de 24 horas.
Con NIS2, las empresas se verán obligadas a llevar su ciberseguridad al siguiente nivel para cumplir los requisitos de conformidad. Pero hay formas de evitar verse abrumado por las normas europeas. La mayoría de las soluciones de ciberseguridad europeas permiten cumplir los requisitos de ISO/IEC 27001, GDPR y NIS2, lo que no siempre ocurre con las soluciones de ciberseguridad fuera de Europa y las soluciones más avanzadas ya son compatibles con NIS2.
Protección de datos: el verdadero reto para su empresa
El cumplimiento del GDPR y la protección de los datos de los usuarios pueden considerarse solo una obligación más para su empresa. Sin embargo, la cuestión de la protección de datos va más allá. La recopilación de datos sin consentimiento previo también afecta directamente a las empresas y es una cuestión que a menudo pasa desapercibida.
La soberanía de los datos está estrechamente vinculada a la cuestión de la soberanía europea en materia de ciberseguridad. Su objetivo es garantizar que sus datos y su uso no estén sujetos a una ley extranjera. Cuando se trata de sus datos, se aplican diferentes leyes dependiendo de su ubicación, de dónde se almacenan sus datos y de dónde se transfieren. Por tanto, las leyes de varios países pueden aplicarse a sus datos. Y por desgracia, no todas las legislaciones están a favor de la protección de datos…
La ley de ciberseguridad extraterritorial más conocida es la controvertida Cloud Act (Clarifying Lawful Overseas Use of Data Act) aprobada en 2018. Con la Cloud Act, las autoridades estadounidenses pueden acceder a los datos almacenados en el extranjero por empresas estadounidenses, sin autorización del país donde se almacenan los datos. Gracias a la Cloud Act, las autoridades estadounidenses tienen acceso legal a todos los datos recolectados por empresas estadounidenses, siempre que esos datos se almacenen en la nube de una empresa estadounidense. Como resultado, incluso si su empresa está ubicada en Europa, donde sus datos están protegidos legalmente, una solución de ciberseguridad estadounidense puede dar acceso a sus datos a las autoridades estadounidenses, si estos datos están almacenados en su nube.
El espionaje industrial a través de soluciones de seguridad extranjeras se está convirtiendo en un riesgo real para las empresas. Este riesgo también se aplica si su solución ha elegido un host estadounidense: se trata, por tanto, de los hosts más habituales, como AWS o Azure. Aquí es donde la soberanía europea también protegerá directamente a su empresa. Elegir soluciones de ciberseguridad sometidas a una legislación que no está a su favor pondrá en riesgo a su empresa. Gracias a la soberanía europea y a las soluciones de ciberseguridad europeas alojadas fuera de Estados Unidos, tus datos se quedan en Europa y tu empresa está protegida.
Cumplimiento, protección de datos y mucho más
Con su etiqueta Security and Ethics by Design, TEHTRIS se compromete a proteger a sus clientes. TEHTRIS le permite cumplir con los requisitos de conformidad y también protege sus datos, ya que estamos alojados fuera de Estados Unidos. Otras soluciones de ciberseguridad tienen acceso a todos sus archivos. TEHTRIS ha diseñado sus productos para que sus archivos no puedan ser vistos ni copiados, con el fin de asegurar aún más su empresa.