nº 1.014 - 30 de enero de 2025
Los mercados online (marketplace) y las nuevas obligaciones de ciberseguridad de la Directiva NIS 2
Vicente Moret. Of Counsel de Deloitte Legal
María Teresa Martínez Cabrera. Asociada Senior de Deloitte Legal
NIS 2 pretende aumentar la resiliencia digital de las entidades que son fundamentales para el funcionamiento de nuestras sociedades altamente digitalizadas
La gobernanza interna de la ciberseguridad debe contar con políticas y procedimientos específicamente requeridos por la norma
El 16 de enero de 2023 entró en vigor la Directiva (UE) 2022/2555, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión («NIS 2»). Esta normativa supone un cambio de paradigma en el marco regulador de las obligaciones en materia de ciberseguridad, con nuevas responsabilidades para los órganos de dirección y sanciones por incumplimiento de las obligaciones que se incluyen en la norma. Entre los sujetos incluidos en el ámbito de aplicación se encuentran los mercados en línea (marketplace) que son encuadrados en la categoría de entidades importantes como proveedores de servicios digitales.
Contexto
La Directiva NIS 2 pretende aumentar la resiliencia digital de las entidades que son fundamentales para el funcionamiento de nuestras sociedades altamente digitalizadas. Una de sus características más destacadas es su amplio ámbito de aplicación, que incluye entre otros sectores a los proveedores de servicios digitales. En esta categoría se incluye a los proveedores de mercados en línea, además de los proveedores de motores de búsqueda en línea y los proveedores de plataformas de servicios de redes sociales. Todas estas entidades incluidas en el Anexo II de la norma pasan a ser consideradas como entidades importantes.
Objetivo y alcance
Con carácter general NIS 2 será aplicable a las entidades, empresas privadas y administraciones públicas que desarrollen su actividad en alguno de los sectores incluidos en los Anexos I y II de la norma y que empleen a más de 50 personas y tengan un volumen de negocios anual superior a los 10 millones de euros, si bien hay determinadas circunstancias en las que también podría llegar a aplicar a pequeñas empresas y microempresas.
A su vez, las entidades obligadas se clasificarán en dos grupos, entidades esenciales con un régimen de supervisión más intenso y; y entidades importantes, con un régimen de supervisión más ligero.
Aplicación a mercados en línea o marketplace
La inclusión en el ámbito de aplicación de NIS 2 supone la necesidad de adaptar la gestión de las empresas designadas a las especificaciones reguladas en materia de gobernanza de la ciberseguridad, así como la adopción necesaria de una serie de medidas para la gestión de riesgos tecnológicos, que deberán también tener en cuenta el principio de proporcionalidad.
Este cambio de regulación incluye nuevas responsabilidades legales del órgano de dirección, normalmente el consejo de administración, la necesidad de aprobar políticas y procedimientos específicos, y, en definitiva, el aumento del nivel de ciberseguridad mediante un enfoque basado en tecnologías, personas y procesos. También es necesario demostrar la diligencia debida generando evidencias legales.
Así mismo, la norma incluye la obligación de adoptar medidas contractuales de gestión del riesgo tecnológico procedente de terceros proveedores, y la de notificación a las autoridades competentes de los ciberincidentes con más impacto, siendo posible la imposición de sanciones en caso de no producirse esa notificación.
La gobernanza interna de la ciberseguridad debe contar con políticas y procedimientos específicamente requeridos por la norma, introduciéndose nuevas obligaciones de gestión y notificación de ciberincidentes a la autoridad competente. A este respecto se debe señalar que la NIS 2 incorpora nuevas capacidades de supervisión y sanción más intensas para las autoridades nacionales y europeas.
En estos momentos es prioritario que las compañías obligadas empiecen los procesos de adaptación con el objeto de cumplir la normativa, determinando la hoja de ruta necesaria para adaptarse al nuevo contexto normativo de la ciberseguridad tanto a nivel europeo como nacional.
Esta regulación a su vez es una herramienta útil a la hora de impulsar los procesos de transformación digital que están viviendo todas las empresas, evitando así los múltiples costes asociados a la ciber-inseguridad, tales como las pérdidas de datos, la disrupción de las operaciones, las posibles sanciones, o las demandas judiciales por parte de terceros o las posibles demandas colectivas por los consumidores y usuarios, o lo accionistas.
Adicionalmente, la Agencia de la Unión Europea para la Ciberseguridad (ENISA), creará y mantendrá un registro de los proveedores de mercados en línea tal y como recoge el artículo 27.1 de la Directiva por el cual se le podrá solicitar determinada información a dichas entidades por parte de los Estados Miembros.
Conclusiones
La inclusión de los proveedores de servicios digitales que gestionan mercado en línea, en el marco regulador de la ciberseguridad por parte de la Unión Europea, supone un cambio regulatorio importante para las estas entidades que pasan a ser consideradas importantes y equiparadas en materia de obligaciones de ciberseguridad a las empresas de otros sectores, tales como el financiero, la energía o las telecomunicaciones.
Ello supone la necesidad de acometer el proceso de adaptación al nuevo contexto regulador, comenzando por la elaboración de mapas de riesgos legales en materia de ciberseguridad, y adaptando o elaborando de nuevo las políticas internas necesarias conforme a la nueva regulación. Así mismo, se considera esencial adaptar el modelo de gobernanza de la ciberseguridad a las nuevas responsabilidades tanto del órgano de dirección como del resto de responsables de la entidad para cumplir con sus nuevas obligaciones legales. ■