El pasado día 13 de julio de este año, la CNMV difundió el Código de Buen Gobierno de la Ciberseguridad (CBGC) elaborado por el seno del Foro Nacional de Ciberseguridad. Dado que tanto en este blog como fuera de él hemos venido ocupándonos con cierta frecuencia de la ciberseguridad en el sector financiero (nos remitimos a la nota bibliográfica final de esta entrada), nos parece particularmente oportuno dar cuenta de este CBGC.
Autoría del CBGC: el Foro Nacional de Ciberseguridad
Este Foro es un grupo de expertos en esta materia que ha analizado las distintas normativas y estándares existentes desde una perspectiva práctica y actual con el fin de mejorar el buen gobierno corporativo en esta cuestión.
Objetivo del CBGC: modelo de buen gobierno de la ciberseguridad
El objetivo general del Código consiste en proponer a las organizaciones prácticas dirigidas a sustentar un modelo de buen gobierno de la ciberseguridad y facilitar su gestión en las redes y los sistemas de información; contribuyendo a la mejora del proceso de toma de decisiones en este ámbito por parte de los órganos de gobierno de las organizaciones y, en especial, por el órgano de administración. En particular, su Introducción dice en este sentido: “A nivel europeo, la Directiva UE 2022/2555 conocida como NIS 2, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, incluye medidas específicas de gobernanza de la ciberseguridad. Entre ellas, establece que los órganos de dirección de las organizaciones aprueben las medidas para la gestión de riesgos de ciberseguridad y supervisen su puesta en práctica. El Foro Nacional de Ciberseguridad, en reunión plenaria el 8 de octubre de 2021, procedió a la aprobación de las líneas de trabajo para el periodo 2021–2022 por cada uno de los grupos de trabajo que lo conforman. Concretamente, la incorporación de la ciberseguridad al buen gobierno corporativo de las organizaciones fue la línea de trabajo aprobada para desarrollar por parte del Grupo de Trabajo número 1 de Cultura de Ciberseguridad”.
Teniendo en cuenta este objetivo general, se establecen cuatro objetivos específicos que son:
a) “Integrar en un único código de buen gobierno los principios maestros para gobernar la ciberseguridad” (I); objetivo que se explicita diciendo que consiste en “Agrupar, de forma concreta y sucinta, las principales actividades que una organización debe realizar para gobernar de forma adecuada y madura la ciberseguridad corporativa. Disponer de un enfoque común de los principios maestros, medidas de seguridad y procedimientos de auditoría, así como de elementos que permitan llevar a cabo el seguimiento del cumplimiento de estándares actuales o futuros del ámbito de la ciberseguridad que puedan ser implantados”.
b) “Desarrollar un documento de ayuda para el órgano de administración de la organización y su equipo directivo” (II); objetivo que se explicita diciendo que consiste en “Identificar las principales materias relacionadas con la gestión y los riesgos en materia de ciberseguridad que deben ser tratadas por una organización, así como las sesiones en las que dichas cuestiones deban abordarse y su periodicidad”.
c) “Formar y concienciar a los órganos de gobierno y a los equipos directivos de las organizaciones sobre su rol y responsabilidad en materia de ciberseguridad” (III); objetivo que se explicita diciendo que consiste en “Servir como referencia para que los administradores de las organizaciones y sus órganos de gobierno puedan conocer sus responsabilidades y funciones en la correcta gestión de la ciberseguridad corporativa”.
d) “Proporcionar una visión integrada de las responsabilidades de supervisión y reporte de la ciberseguridad”; objetivo que se explicita diciendo que consiste en “Definir de forma explícita las responsabilidades de supervisión y reporte en materia de ciberseguridad, así como proporcionar orientación sobre qué eventos o incidentes significativos deben reportarse a la dirección, a los órganos de gobierno o a los organismos supervisores”.
Contenido del CBGC
Este CBGC se acomoda a la estructura común de estos documentos de “soft law” en dos niveles de concreción que son los principios generales desglosados en recomendaciones flexibles para que sean aptas para su uso por cualquier organización que persiga realizar una adecuada gobernanza de la ciberseguridad. Por lo tanto, no pretende constituirse en un nuevo estándar de controles que deben implementarse para obtener con un determinado nivel de cumplimiento, sino que recoge trece principios que permitirían a las organizaciones verificar su madurez para lograr los objetivos necesarios. Para cada uno de estos principios, se aportan una serie de recomendaciones concretas para ayudar, con un enfoque práctico, a alinearse con estos.
Los principios parten del presupuesto de la proporcionalidad que es el Principio 1 que dice “Las recomendaciones contenidas en este Código se aplicarían a las organizaciones bajo el principio de proporcionalidad, teniendo en cuenta su propia complejidad, tamaño, riesgos a los que estén sometidas, recursos con los que cuenten y el resto de circunstancias aplicables”.
Establecido dicho presupuesto, los principios se organizan en tres grandes bloques que son :
a) Estrategia y organización: abarca los principios de “alineamiento estratégico y visión de futuro” (2), “responsabilidad y organización” (3) y “ética y cumplimiento” (4). Desde el punto de vista de la regulación financiera, nos parece particularmente destacable el principio 3 de responsabilidad y organización que dice: “La ciberseguridad es una disciplina compleja y transversal que afecta a todas las actividades de una organización. Es por esto que requiere de un adecuado liderazgo y una estructura que, para ser implantada y gestionada adecuadamente, a su vez debe estar integrada por profesionales con formación y experiencia adecuados”. A modo de ejemplo, la Recomendación 5 que es la primera que proyecta este principio dice: “La organización aspirará a que, dentro del órgano de administración, haya, al menos, un miembro con experiencia en gestión de ciberseguridad que apoye y valide los objetivos con anterioridad a su aprobación por el equipo directivo”.
b) Gestión: abarca los principios de “modelo de gestión” (5), “dotación de recursos” (6), “gestión de incidentes y resiliencia” (7) “formación y concienciación” (8) a “innovación y mejora continua” (9). Desde el punto de vista de la regulación financiera, nos parece particularmente destacable el principio 7 referido a la gestión de incidentes y resiliencia que dice: “Una de las finalidades perseguidas por la ciberseguridad es asegurar la continuidad de la capacidad operativa para los fines de la organización y la de los grupos de interés que puedan verse afectados por sus actividades. Esto se conoce como resiliencia operativa y por ello se deben desarrollar capacidades para contener o recuperarse de los ciberincidentes”. A modo de ejemplo. la Recomendación 14 que es la primera que proyecta este principio dice: “Se definirá cuándo un incidente tiene la consideración de significativo en función del impacto, del tipo de organización, su sector y las regulaciones a las que pudiera estarsometida en los mercados en los que opere”.
c) Supervisión: Son los principios referidos a la de “ciberinteligencia” (10), el “informe periódico” (11), la “continuidad” (12) y la gestión del riesgo” (13). Desde el punto de vista de la regulación financiera, nos parecen particularmente destacables los principios 12 y 13 que señalan, respectivamente: “La ciberseguridad es parte de la estrategia de continuidad de la organización y su ensayo es esencial para una correcta preparación ante los ciberincidentes” y “la correcta gestión, evaluación y comunicación del riesgo de ciberseguridad es un elemento clave en la gestión del riesgo corporativo para toda organización”. A modo de ejemplo. la Recomendación 25 que es la primera que proyecta este último principio dice: “Se deberán realizar evaluaciones independientes respecto a la unidad de ciberseguridad, al menos una vez al año, que permitan al órgano de administración obtener un punto de vista adicional y complementario del correcto estado del programa de gestión de los riesgos de ciberseguridad de los procesos críticos de la organización, incluyendo a la cadena de suministro”.
Proyección del CBGC en la gobernanza societaria y en la diligencia debida empresarial en materia de sostenibilidad
Desde la perspectiva de la normativa mercantil de las sociedades de capital resulta particularmente relevante el impacto que puede tener este CBGC como parte del modelo de gobernanza societaria y de la diligencia debida empresarial en materia de sostenibilidad. En este último sentido, no en vano la Introducción a este CBGC señala: “A nivel nacional, el nuevo Esquema Nacional de Ciberseguridad, recogido en el Real Decreto 311/2021, menciona explícitamente la necesidad de seguir una dinámica de mejora continua y adaptativa de la ciberseguridad, que es parte cada vez más relevante del modelo de sostenibilidad del país, debido al impacto que puede generar, no solamente en la propia organización, sino también en sus empleados, proveedores, clientes y grupos de interés que puedan verse afectados por las actividades de la organización. Así mismo, el Real Decreto 43/20212 exige el nombramiento de un responsable de la seguridad de la información en las organizaciones que reporte directamente a la alta dirección y que mantenga la debida independencia respecto de los responsables de las redes y los sistemas de información”.
Sobre estas relaciones entre ciberseguridad y sostenibilidad en el ámbito empresarial es interesante tomar en consideración la Propuesta de Directiva sobre diligencia debida de las empresas en materia de sostenibilidad (Propuesta de Directiva del Parlamento Europeo y del Consejo sobre diligencia debida de las empresas en materia de sostenibilidad y por la que se modifica la Directiva (UE) 2019/1937 Bruselas 23.2.2022 / Ref. COM(2022) 71 final, 2022/0051 (COD), {SEC(2022) 95 final a la que nos referimos en la entrada de este blog de 31 de octubre de 2022 sobre “La diligencia debida empresarial en materia de sostenibilidad. La Propuesta de Directiva de 23 de febrero de 2022”).
Proyección del CBGC en el mercado financiero
La CNMV aclara que: “aunque el Código no es un documento de la CNMV ni constituye una recomendación de la CNMV a las sociedades cotizadas, dado el interés que puede tener para ellas y el creciente nivel de riesgo de ciberataques, la CNMV difunde este nuevo código y contribuye a su conocimiento entre las cotizadas y entidades supervisadas” (ver la aclaración de la Nota de prensa de la CNMV de 13 de julio de 2023 sobre el “Nuevo Código de Buen Gobierno de la Ciberseguridad”).
Utilidad del CBGC en el proceso de implementación de DORA y de adaptación de la ciberseguridad de las entidades financieras a la Ley 6/2023, de 17 de marzo, de los Mercados de Valores y de los Servicios de Inversión
Este CBGC establece principios y recomendaciones de carácter general que coindicen y evocan las específicas que establece el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 (DORA) y que, por lo tanto, pueden ser útiles para las entidades financieras en el proceso de incorporación de aquellas medidas que se convertirán en obligaciones jurídicamente vinculantes a partir del 17 de enero de 2025 y cuya infracción esta ya tipificada en el artículo 308 de la Ley 6/2023, de 17 de marzo, de los Mercados de Valores y de los Servicios de Inversión (LMVSI) que ofrece el elenco de “infracciones por incumplimiento de las obligaciones establecidas en el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector y en su artículo 324 de la LMVSI que establece el “régimen aplicable a los incumplimientos del Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero (el lector interesado puede ver laentrada de 13 de abril de 2023 titulada “DORA llega a España: La nueva Ley de los Mercados de Valores y de los Servicios de Inversión adapta el régimen de las empresas de servicios de inversión al Reglamento de la UE sobre la resiliencia operativa digital en el sector financiero (DORA)”).
Es pertinente recordar al lector que, entre los elementos objetivos que integran la estructura de la Ley europea sobre resiliencia operativa digital del sector financiero (DORA) destacan el riesgo, ofreciendo DORA un conjunto dedefiniciones de riesgos relevantes en el sector de las finanzas digitales como son el riesgo relacionado con las TIC de carácter endógeno o exógeno, esto es, derivado de terceros, el riesgo de concentración de TI y la ciberamenaza; y el incidente, ofreciendo DORAun conjunto dedefiniciones de incidentes relevantes en el sector de las finanzas digitales que, en función de su gravedad y de su relación con los pagos, pueden clasificarse en las siguientes categorías: Incidentes comunes relacionados con las TIC que pueden ser normaleso graves e incidentes operativos o de seguridad relacionados con los pagos que también pueden ser normales o graves. Además, en esta fase actual o de siniestralidad podemos incluir el ciberataque.
Nota bibliográfica: el lector interesado en los aspectos de la ciberseguridad en las tecnofinanzas (Fintech) puede consultar las entradas que hemos dedicado en este blog a la materia. Además, si está interesado, en profundizar en el conocimiento del DORA puede consultar las 4 entradas que publicamos en este blog los días 6,7,9 y 10 de febrero de este año con el título común de “DORA. Ley Europea de Resiliencia Operativa Digital del Sector Financiero. Reglamento (UE) 2022/2554”; la entrada del 17 de marzo pasado, dedicada a dar cuenta de “La nueva Ley de los Mercados de Valores y de los Servicios de Inversión: aprobación del Proyecto de Ley por los Plenos del Congreso y del Senado (2): Aspectos generales y ejes cardinales”. Así como nuestro artículo sobre “Los 20 principios básicos de la ley europea de resiliencia Operativa Digital del Sector Financiero (DORA)”, publicado en el Diario La Ley, n.º 10262, Sección Tribuna, 5 de abril de 2023 y nuestro estudio sobre la “Supervisión y sanción de la resiliencia operativa digital del sector financiero en Europa. Reglamento (UE) 2022/2554. DORA”, publicado en la Revista Iberoamericana del Mercados de Valores (RIMV) n.º 68 (2023), pp. 24-32.