4 leyes sobre ciberseguridad que han cambiado el panorama global en 2024

En 2024, nuevas leyes de ciberseguridad entraron en vigor en las principales economías de todo el mundo, transformando de manera significativa el entorno normativo mundial.

Los cambios para mejorar las regulaciones de ciberseguridad son vistos cada vez más favorablemente por los líderes empresariales. El último informe Panorama Global de Ciberseguridad del Foro Económico Mundial reveló que el 60% de los ejecutivos creen que una normativa adecuada reduce los riesgos en materia de ciberseguridad y privacidad – un importante aumento respecto al 21% de 2022.

Las nuevas leyes, algunas de las cuales refuerzan normas anteriores, proporcionan guardarraíles de ciberseguridad mejorados para frenar las amenazas cibernéticas en constante evolución. Estas incluyen el creciente uso de tecnologías avanzadas como la inteligencia artificial por parte de los ciberdelincuentes.

He aquí cuatro cambios importantes de la normativa global sobre ciberseguridad:

Este mes venció el pazo para que los Estados miembros de la Unión Europea transpusieran la Directiva 2 sobre seguridad de las redes y de la información (NIS) a la legislación nacional y empezaran a aplicar las reglas actualizadas de ciberseguridad.

Promulgada a principios de 2023 con un periodo de aplicación de 21 meses, la Directiva NIS2 se concibió para reforzar la ciberresiliencia y armonizar la legislación en todo el bloque. Más específicamente, la normativa pretende reforzar las capacidades de ciberseguridad de la UE en torno a infraestructuras críticas, como sistemas energéticos, redes sanitarias y servicios de transporte.

La directiva también introduce nuevos mecanismos para mejorar la cooperación entre las autoridades nacionales y crea un nuevo centro para supervisar una respuesta coordinada a los grandes ciberataques. Además, obliga a las organizaciones a notificar las violaciones y ataques cibernéticos dentro de las 24 horas siguientes a tener conocimiento de ellos. Las empresas que no cumplan con este requisito pueden enfrentarse a graves multas.

En 2021, el Foro Económico Mundial contribuyó al desarrollo de la NIS2 con un informe en el que se detallan medidas para aumentar la ciberresiliencia en la UE. Una parte importante del informe se centra en las ciberamenazas a los sistemas energéticos.

"Las organizaciones de infraestructuras energéticas críticas deben adaptarse rápidamente al ritmo de cambio del panorama de las amenazas digitales, para mejorar la detección, prevención, respuesta y recuperación ante ciberataques cada vez más frecuentes, a mayor escala y más sofisticados", señala el informe. "Además, la naturaleza digital de las tecnologías emergentes las hace intrínsecamente vulnerables a los ciberataques, que pueden adoptar multitud de formas – desde el robo de datos y el ransomware hasta la invasión de sistemas – con consecuencias perjudiciales potencialmente a gran escala."

En mayo de 2024, el gobierno estadounidense anunció que varios aspectos de su Estrategia Nacional de Ciberseguridad se encontraban en fase avanzada o habían entrado en vigor.

Esto se refiere al progreso en decenas de objetivos, como el desarrollo de ejercicios de escenarios de ciberseguridad para orientar a los propietarios de infraestructuras críticas a prepararse para ciberataques de Estados y agentes maliciosos, y los cambios propuestos en las compras gubernamentales de dispositivos del Internet de las Cosas para garantizar que sean seguros por diseño. La estrategia también tiene como objetivo garantizar que Estados Unidos esté a la vanguardia del desarrollo de estándares de ciberseguridad y establecer la Oficina de Política Cibernética y Digital dentro del Departamento de Estado para fomentar alianzas internacionales para combatir a los ciberagentes maliciosos.

Publicada por primera vez a principios de 2023, la Estrategia Nacional de Ciberseguridad de Estados Unidos tiene la intención de "asegurar todos los beneficios de un ecosistema digital seguro para todos los estadounidenses" y reforzar la colaboración entre los sectores público y privado para garantizar un ecosistema cibernético seguro, según una declaración de la Casa Blanca.

El comunicado señala que la estrategia estadounidense esboza dos "cambios fundamentales" en la forma en que Estados Unidos aborda la ciberseguridad. Estos son: 1) trasladar "la carga de la ciberseguridad de los individuos, las pequeñas empresas, los gobiernos locales y los operadores de infraestructuras a las organizaciones más capaces y mejor posicionadas para reducir los riesgos" y 2) incentivar "las inversiones a largo plazo mediante un cuidadoso equilibrio entre la defensa [nacional] contra las amenazas urgentes de hoy y [...] la planificación estratégica y la inversión en un futuro resiliente".

En 2024, Estados Unidos también emitió una orden ejecutiva para fortalecer la ciberseguridad en los puertos. La directiva requiere que el Departamento de Seguridad Nacional (DHS) evalúe las ciberamenazas marítimas y refuerce las capacidades de ciberseguridad de los sistemas operativos de los puertos del país.

El Plan Director o Operational Technology Cybersecurity Masterplan 2024 de Singapur, publicado en agosto de 2024, es una nueva legislación para reforzar la ciberseguridad de la tecnología que sustenta gran parte de la economía moderna.

Dicha tecnología, conocida como tecnología operativa (TO), incluye los equipos digitales que interactúan con el mundo físico. Por ejemplo, los sistemas que controlan los semáforos, las bombas de gasolina y la red de energía.

Según un comunicado la Agencia de Ciberseguridad de Singapur (CSA), el plan forma parte de un "esfuerzo continuo por mejorar la seguridad y la resiliencia de las organizaciones que operan sistemas de control industrial, así como de las que utilizan TO para habilitar el control físico".

Los principios de despliegue seguro (secure-by-deployment) establecidos en el Plan Director de Singapur colocan una responsabilidad igual en los fabricantes, instaladores y usuarios finales de las tecnologías para garantizar que los dispositivos de TO sean seguros al momento de la entrega y sigan siendo seguros durante todo su ciclo de vida.

Más de 60 organizaciones colaboraron con el desarrollo del Plan Director, concebido para disuadir y frustrar ciberataques procedentes de fuentes que van desde el cibercrimen organizado a los ciberataques patrocinados por Estados. Se describe la ciberseguridad como "un deporte de equipo" en el que diversas partes interesadas asumen la responsabilidad de la seguridad.

"El Plan Director actualizado en 2024 refleja la madurez en evolución del ecosistema de TO y la naturaleza dinámica de las ciberamenazas dirigidas a los sistemas de TO a raíz de los cambios geopolíticos y tecnológicos", añade la CSA.

En 2024 entró en vigor la Ley de Ciberresiliencia (CRA, por sus siglas en inglés) de la UE, que obliga a reforzar el mecanismo de ciberseguridad en una amplia variedad de productos de hardware y software de uso cotidiano.

"Desde monitores para bebés hasta relojes inteligentes, los productos y software que contienen un componente digital están omnipresentes en nuestra vida cotidiana", señaló la Comisión Europea en un comunicado. "Menos evidente para muchos usuarios es el riesgo de seguridad que tales productos y software pueden presentar".

La ley pretende asegurar que se mantengan los protocolos de ciberseguridad a lo largo de todo el ciclo de vida de los productos digitales. Las nuevas regulaciones incluyen normas de ciberseguridad armonizadas para la comercialización de nuevos productos digitales o software, así como un nuevo marco de requisitos de ciberseguridad que rigen la planificación, el diseño, el desarrollo y el mantenimiento de dichos productos. La ley también exige que las obligaciones de ciberseguridad se cumplan en todas las fases de la cadena de valor.

Para ofrecer más visibilidad a los consumidores, los productos inteligentes que cumplan con la normativa llevarán una marca estándar europea.

"Al exigir a los fabricantes y minoristas que den prioridad a la ciberseguridad, se permite a los clientes y a las empresas tomar decisiones informadas", añadió la Comisión Europea.

La evolución del entorno normativo global en materia de ciberseguridad se produce en un momento en el que los líderes gubernamentales y empresariales son cada vez más conscientes de la creciente amenaza de los ciberataques y de un panorama de riesgos en rápida evolución.

No obstante, el informe Panorama Global de Ciberseguridad 2024 del Foro señala que todavía existe una brecha entre las organizaciones que están tomando medidas decisivas para mejorar su ciberresiliencia y las que se enfrentan a los retos de ciberseguridad sin una visión estratégica de las soluciones a largo plazo.

Además de destacar los riesgos de la creciente desigualdad cibernética, el informe del Foro detalla el "profundo impacto" que tecnologías emergentes como la inteligencia artificial están teniendo en la ciberseguridad.

"A medida que las organizaciones se apresuran a adoptar nuevas tecnologías, como la inteligencia artificial generativa (IA), se necesita una comprensión básica de las implicaciones inmediatas, a medio y largo plazo de estas tecnologías para su postura de ciberresiliencia", señala el informe.

El informe añade que "el camino a seguir exige un pensamiento estratégico, una acción concertada y un compromiso firme con la ciberresiliencia."