Una importante asociación de gestores de riesgos ha instado a la UE a que haga más consistentes los requisitos de notificación de incidentes cibernéticos antes de que entre en vigor la nueva legislación. La Federación de Asociaciones Europeas de Gestión de Riesgos (FERMA) dijo en un nuevo informe que la UE necesita proporcionar un conjunto de requisitos más simplificado y consistente cuando se trata de informar sobre incidentes cibernéticos, garantizando que sea fácil y seguro para las organizaciones proporcionar dicha información. La próxima legislación sobre ciberseguridad en la UE (la Directiva sobre seguridad de las redes y la información (NIS2), la Ley de resiliencia operativa digital (DORA) y la Ley de resiliencia cibernética (CRA) contiene reglas sobre los plazos y prácticas de respuesta a incidentes. Esto se suma a las obligaciones de informar incidentes en la legislación existente, como el Reglamento General de Protección de Datos (GDPR). “Dado que las sanciones por incumplimiento del creciente número de requisitos de presentación de informes pueden ser punitivas, es de suma importancia que las organizaciones que operan en la Unión Europea y sus funciones de gestión de riesgos obtengan claridad sobre cuáles de estos innumerables requisitos de presentación de informes son aplicables a ellos, en qué escenarios y cómo deben responder”, escribió FERMA. Además, Philippe Cotelle, presidente del Comité Digital de FERMA, afirmó que no existen especificaciones técnicas sobre qué medidas de gestión de riesgos deben tomar las organizaciones en relación con la notificación de incidentes, ni tampoco hay ninguna que considere las implicaciones para el seguro. Gama de requisitos de notificación de incidentes La legislación NIS2, que se transpondrá a las leyes nacionales el 17 de octubre de 2024, impone requisitos más estrictos de notificación de incidentes cibernéticos a las organizaciones afectadas. Las entidades “esenciales” e “importantes” afectadas por un incidente cibernético importante deben informar a las autoridades pertinentes dentro de las 24 horas posteriores a la detección, con un informe de seguimiento dentro de las 72 horas y un análisis detallado del incidente dentro de un mes. DORA, que entrará en vigor a partir de enero de 2025, exigirá que las organizaciones financieras informen de incidentes “importantes” a su Autoridad Europea de Supervisión (ESA) a través de un modelo de notificación, cuyos plazos serán determinados por las ESA individuales. La CRA, que entrará en vigor durante un período de transición gradual que comenzará a finales de 2025, impondrá una notificación de incidentes gradual a los fabricantes y desarrolladores de productos digitales. La primera fase es dentro de las 24 horas posteriores a tener conocimiento de la vulnerabilidad explotada/incidente grave, la segunda es para proporcionar más información sobre la vulnerabilidad/incidente y es dentro de los 14 días para la detección de la vulnerabilidad como informe final. Según el RGPD, que entró en vigor en 2018, todas las organizaciones deben notificar a la autoridad de protección de datos pertinente en caso de violaciones de datos personales sin demoras indebidas, a más tardar 24 horas. Requisitos de presentación de informes para imponer “costos significativos” a las empresas El informe de FERMA advirtió que el cumplimiento de estas diversas reglas a menudo resultará en que las organizaciones tengan que informar incidentes a diferentes autoridades en diferentes plazos. «Esto añadirá una carga administrativa a la gestión del incidente en sí, lo que generará costes significativos para las empresas», afirmó la asociación. El informe también señala que estas leyes imponen diversas sanciones por incumplimiento, incluidas multas, que pueden o no estar cubiertas por pólizas de seguro, dependiendo de la redacción de la cobertura del seguro y del Estado miembro en cuestión. Por lo tanto, FERMA instó a la Comisión Europea a considerar las implicaciones de seguros de cualquier futura legislación cibernética de la UE al realizar evaluaciones de impacto. El informe proporciona consejos prácticos para los gestores de riesgos sobre el cumplimiento de los diferentes requisitos. Charlotte Hedemark, presidenta de FERMA, dijo que espera que el informe «ayude a los responsables políticos europeos a racionalizar su enfoque para la notificación de incidentes cibernéticos y conduzca a cierta simplificación de la presentación de informes, permitiendo a las empresas dedicar una mayor proporción de sus recursos y conocimientos a la evaluación, gestión y responder a este riesgo”.