En 2024, nuevas leyes de ciberseguridad entraron en vigor en las principales economías de todo el mundo, transformando de manera significativa el entorno normativo mundial.
Los cambios para mejorar las regulaciones de ciberseguridad son vistos cada vez más favorablemente por los líderes empresariales. El último informe Panorama Global de Ciberseguridad del Foro Económico Mundial reveló que el 60% de los ejecutivos creen que una normativa adecuada reduce los riesgos en materia de ciberseguridad y privacidad – un importante aumento respecto al 21% de 2022.
Las nuevas leyes, algunas de las cuales refuerzan normas anteriores, proporcionan guardarraíles de ciberseguridad mejorados para frenar las amenazas cibernéticas en constante evolución. Estas incluyen el creciente uso de tecnologías avanzadas como la inteligencia artificial por parte de los ciberdelincuentes.
He aquí cuatro cambios importantes de la normativa global sobre ciberseguridad:
1. Directiva NIS2 de la Unión Europea
Este mes venció el pazo para que los Estados miembros de la Unión Europea transpusieran la Directiva 2 sobre seguridad de las redes y de la información (NIS) a la legislación nacional y empezaran a aplicar las reglas actualizadas de ciberseguridad.
Promulgada a principios de 2023 con un periodo de aplicación de 21 meses, la Directiva NIS2 se concibió para reforzar la ciberresiliencia y armonizar la legislación en todo el bloque. Más específicamente, la normativa pretende reforzar las capacidades de ciberseguridad de la UE en torno a infraestructuras críticas, como sistemas energéticos, redes sanitarias y servicios de transporte.
La directiva también introduce nuevos mecanismos para mejorar la cooperación entre las autoridades nacionales y crea un nuevo centro para supervisar una respuesta coordinada a los grandes ciberataques. Además, obliga a las organizaciones a notificar las violaciones y ataques cibernéticos dentro de las 24 horas siguientes a tener conocimiento de ellos. Las empresas que no cumplan con este requisito pueden enfrentarse a graves multas.
En 2021, el Foro Económico Mundial contribuyó al desarrollo de la NIS2 con un informe en el que se detallan medidas para aumentar la ciberresiliencia en la UE. Una parte importante del informe se centra en las ciberamenazas a los sistemas energéticos.
«Las organizaciones de infraestructuras energéticas críticas deben adaptarse rápidamente al ritmo de cambio del panorama de las amenazas digitales, para mejorar la detección, prevención, respuesta y recuperación ante ciberataques cada vez más frecuentes, a mayor escala y más sofisticados», señala el informe.
«Además, la naturaleza digital de las tecnologías emergentes las hace intrínsecamente vulnerables a los ciberataques, que pueden adoptar multitud de formas – desde el robo de datos y el ransomware hasta la invasión de sistemas – con consecuencias perjudiciales potencialmente a gran escala.»
2. Estrategia Nacional de Ciberseguridad de Estados Unidos
En mayo de 2024, el gobierno estadounidense anunció que varios aspectos de su Estrategia Nacional de Ciberseguridad se encontraban en fase avanzada o habían entrado en vigor.
Esto se refiere al progreso en decenas de objetivos, como el desarrollo de ejercicios de escenarios de ciberseguridad para orientar a los propietarios de infraestructuras críticas a prepararse para ciberataques de Estados y agentes maliciosos, y los cambios propuestos en las compras gubernamentales de dispositivos del Internet de las Cosas para garantizar que sean seguros por diseño.
La estrategia también tiene como objetivo garantizar que Estados Unidos esté a la vanguardia del desarrollo de estándares de ciberseguridad y establecer la Oficina de Política Cibernética y Digital dentro del Departamento de Estado para fomentar alianzas internacionales para combatir a los ciberagentes maliciosos.
notiveraz