¿Olvidará la Directiva NIS la ciberseguridad en la cadena de suministro?

Es indudable que la directiva NIS va a suponer un gran avance en materia de ciberseguridad en los estados miembros según se vaya trasponiendo una vez entre en vigor. Un enfoque integral en toda la UE, la obligación de informar a las autoridades nacionales (que habrán de definirse) de los incidentes de seguridad o la creación de una red de Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT) son sus aspectos más significativos.

Pero, por contra, solo exigirá que adopten medidas para mejorar su capacidad de resistencia ante ataques a empresas dedicadas a servicios básicos (operadores de servicios esenciales) -lo que incluye a los servicios digitales como buscadores, tiendas online o servicios en la nube- y, además, excluye a las micro y pequeñas empresas, según la definición incorporada en la Recomendación de la Comisión Europea 2003/361/EC, es decir, aquellas entidades de hasta diez millones de euros de facturación y hasta 50 empleados.

(Artículo publicado originalmente en Red Segurid@d)

Esta definición de alcance tiene un problema: Olvida que empresas pequeñas o muy pequeñas pueden tener capacidades de procesamiento muy significativas y que, además, pueden ser utilizadas como puente para atacar a empresas mayores.

Consideramos que en España esta exclusión afecta a la casi totalidad, más del 99 por ciento de nuestros tres millones de empresas. Muchas de ellas prestan servicios en los que se gestionan procesos de negocio de elevado valor e información que puede resultar altamente sensible. 

Por este motivo, y entendiendo que políticamente no se quiera impactar excesivamente en la actividad económica y penalizar a las empresas europeas respecto a otras que no tengan que adoptar este tipo de medidas, la Directiva no debería olvidar la importancia de la cadena de suministro TIC y, al menos, exigir a los operadores que sí estén sujetos a esta Directiva que se aseguren de que sus proveedores no son un eslabón débil de la cadena.

Este enfoque, además, sería coherente con la postura de organismos como el Banco Central Europeo que ha expresado su preocupación por los mecanismos de supervisión que las entidades financieras han implementado sobre sus proveedores en materia de ciberseguridad. Este acercamiento permitiría acotar el problema a aquellas PYMES que realmente puedan ser significativas para los servicios esenciales y es algo que todas las entidades están haciendo o van a hacer como parte de sus procesos de Gestión de Riesgo Proveedor.

Es el servicio prestado y la información que se gestiona lo que debe causar o no la inclusión en determinadas obligaciones, y no el tamaño de quien lo realiza.

El etiquetado de la seguridad de los servicios es una forma sencilla y comprensible para implementar esta medida de manera eficiente y sin suponer un coste para el sector, puesto que las eficiencias logradas sobrepasan significativamente el importe de la calificación.