FERMA, la federación europea de asociaciones de gerentes de riesgos, insta a las instituciones de la UE a agilizar los requisitos de presentación de informes cibernéticos y a considerar las implicaciones de la legislación relacionada con el ciberespacio en materia de seguros, tras la publicación de un nuevo informe que proporciona orientación sobre las regulaciones recientes y futuras.
El informe, ‘Cyber Reporting Stack: Navigating EU incident reporting requirements for risk managers’, se ha elaborado en asociación con WTW y ofrece a los gestores de riesgos un asesoramiento integral sobre la gestión de los requisitos de presentación de informes en un entorno de políticas cibernéticas cada vez más amplio. El documento, que incluye una serie de estudios de casos que abarcan diferentes escenarios críticos de infracciones, ofrece orientación sobre los requisitos de presentación de informes en todas las regulaciones, incluido el Reglamento General de Protección de Datos (RGPD), la Seguridad de la Información y las Redes (NIS), la Seguridad de la Información y las Redes (NIS 2), la Ley de Resiliencia Operativa Digital (DORA) y la Ley de Resiliencia Cibernética (CRA).
Al analizar esta creciente carga de presentación de informes cibernéticos, Charlotte Hedemark, presidenta de FERMA, ha afirmado: «FERMA cree que las empresas necesitan un conjunto de requisitos más simplificado y coherente cuando se trata de informar sobre incidentes cibernéticos. Este informe debería ayudar a las autoridades, las empresas y los ciudadanos de la UE a comprender mejor la amenaza cibernética, pero esto sólo funcionará si las empresas pueden proporcionar información de forma sencilla y segura”.
Como parte de los esfuerzos por reducir esta carga, el informe recomienda explorar la posibilidad de un “punto de entrada único” para la notificación de incidentes cibernéticos, al tiempo que se proporciona a los Estados miembro de la UE orientación sobre cómo agilizar los procesos y el número de entidades implicadas.
Philippe Cotelle, presidente del Comité Digital de FERMA, ha señalado: “Somos plenamente conscientes de que, si bien la gestión de riesgos desempeña un papel fundamental en la creación de resiliencia y recuperación ante los ciberataques, no existen reglamentos que proporcionen especificaciones técnicas sobre las medidas de gestión de riesgos que deben adoptar las organizaciones, ni tampoco hay ninguno que tenga en cuenta las implicaciones de los seguros”.
El informe insta a la Comisión Europea a tener en cuenta las implicaciones de los seguros y la transferencia de riesgos de cualquier futura legislación cibernética de la UE al realizar una evaluación de impacto. Laure Zicry, directora de FINEX Cyber, Europa Occidental, WTW, ha indicado: “WTW está encantada de trabajar con FERMA en un informe tan importante. La gestión de los riesgos cibernéticos es fundamental para todas las empresas que se toman muy en serio la confidencialidad de los datos de sus clientes y la seguridad de su red. Las normas y requisitos de notificación de incidentes cibernéticos que se tratan en este informe técnico abordan cuestiones interdisciplinares y, por lo tanto, las organizaciones deben abordarlas en consecuencia.
El papel del gestor de riesgos es crucial para garantizar que se hayan identificado correctamente todos los riesgos y que se hayan adoptado las mejores estrategias de mitigación”.
Hedemark concluye: “Esperamos que proporcione a las empresas una mayor claridad sobre los requisitos de notificación de incidentes cibernéticos y cómo se relacionan con el panorama más amplio de comprensión de esta amenaza global.
“También esperamos que el conocimiento obtenido ayude a los responsables políticos europeos a agilizar su enfoque de la notificación de incidentes cibernéticos y conduzca a una cierta simplificación de la notificación, lo que permitirá a las empresas dedicar una mayor proporción de sus recursos y conocimientos a evaluar, gestionar y responder a este riesgo”.