Den nya europeiska cybersäkerhetsregleringen, känd som NIS2 -direktiv, ställer strikta krav på alla affärer, stora och små, som arbetar i vissa sektorer och för första gången, gör chefer ansvariga Personligen, Vid icke -efterlevnad; Även om ursprunget till datorattacken orsakas av arbetstagarnas misslyckande.
Införandet av detta direktiv i Spanien, genom utkastet till lag om samordning och styrning av cybersäkerhet, överväger sanktioner som kan nå tio miljoner euro eller 2% av faktureringsvolymen av verksamheten. Med vilka för många små och medelstora företag innebär reglerna omedelbara justeringar för att undvika sanktioner och garantera dess kontinuitet.
Påverkan är särskilt relevant för de små och medelstora företag som verkar inom sektorer som Energi, transport, hälsa, telekommunikation, vatten och bankeftersom de måste stärka sin digitala infrastruktur för att uppfylla de nya kraven. ”Problemet är att många företag fortsätter att vara beroende av isolerade verktyg och manuella processer, som De är inte enkla eller praktiska”, Förklarade till denna tidning Sancho Lerena, VD för Pandora FMS. För den person som är ansvarig i Spanien av denna multinationella övervakning av datorsystem kräver inte reglerna att företag vidtagit tekniska åtgärder, utan ocksåChefer måste övervaka och svara Vid misslyckanden ”.
Sanktioner för företag som lider av en cyberattack för att de inte skyddar sig ordentligt
Det europeiska direktivet fastställer att berörda företag måste ha avancerade cybersäkerhetsåtgärder, inklusive Riskövervakning, beredskapsplaner och anmälan om händelser. Enligt uppgifter från European Cybersecurity Agency uppfyller emellertid endast en tredjedel (27%) av företagen i Europa för närvarande dessa krav, vilket avslöjar en hög risk för sanktioner.
I Spanien är situationen inte mycket bättre, eftersom bristen på specialiserad personal och ofta en otillräcklig investering hindrar anpassning. För små och medelstora företag är utmaningen ännu större. Många har inte interna cybersecurity -team och är beroende av externa leverantörer för att följa förordningarna.
”Många små och medelstora företag använder sig av att anställa säkerhet till tredje parter, till exempel en extern tjänst. Detta kan fungera på regleringsnivå, men säkerställer inte verkligt skydd”Sancho Lerena varnade. Direktivet tvingar företag att ha Handlingsplaner mot incidenterså delegera cybersäkerhet utan intern övervakning kan Inte tillräckligt för att undvika sanktioner.
En av de mest kontroversiella aspekterna av NIS2 är den Böter kan falla direkt på VD och administratörer av SME, även om de inte är ägarna till verksamheten och de är enkla anställda.
Vid icke -efterlevnad kan kontrollmyndigheten tillfälligt inaktivera chefer och till och med avbryta företagets verksamhet tills bristerna är undersäkerhet. ”De sanktionerande kriterierna fokuserar på vårdslöshetinte i det faktum att drabbas av en attack, säger VD för Pandora FM. ”Därför kommer böter att undvikas med en svarsplan, incidenthantering och intern utbildning.”
Små och medelstora företag kan sanktioneras som leverantörer av stora företag
En annan kritisk punkt är att små och medelstora företag kan sanktioneras, Även om de inte är det direkta målet för förordningen. Många små och medelstora företag De är en del av leveranskedjan av stora reglerade företag; vilket tvingar dem att följa förordningarna för att fortsätta fungera.
Faktum är att i sektorer som transport eller hälsa är många små och medelstora företag beroende av kontrakt med stora företag som De har redan börjat kräva säkerhetscertifieringar Som ett villkor för att fortsätta det kommersiella förhållandet.
”Vi står inför ett viktigt ögonblick för affärsekosystemet. Små och medelstora företag De bör inte bara skyddas från cyberattacker, utan uppfyller förordningar Mer och mer krävande, vilket ger en betydande börda till sin dagliga verksamhet, säger Víctor Ronco, VD för Zerod. För många Nystart Och små och medelstora företag, detta är en hög kostnad när det gäller tid och resurser, som Det bidrar till bristen på specialiserad cybersäkerhetspersonal.
National Cybersecurity Institute (Incibe) rapporterade mer än 120 000 cybersäkerhetsincidenter i Spanien 2024som representerar en ökning med 20% jämfört med föregående år. Denna situation förstärker behovet av Anta förebyggande åtgärder så snart som möjligtmen det representerar också en ytterligare utmaning för Affärer med snäva budgetar. Implementeringen av cybersecurity -system kräver en initial investering som inte alla små och medelstora företag omedelbart kan möta.
Anställda måste övervaka efterlevnaden av nya krav
För att mildra den ekonomiska effekten rekommenderar vissa experter Säkerhetslösningar skalbar och anpassad till varje företags behov. Processautomation och integration av hotdetekteringsverktyg kan bidra till att minska kostnaderna och förbättra skyddet utan behov av stor intern utrustning. Detta undantar emellertid inte verksamheten i Anställningskyldighet utbildad, för att övervaka dessa lösningar.
I det nuvarande sammanhanget, för att inte uppfylla kraven i NIS2 -direktivet, förutom att det leder till ekonomiska sanktioner, kan det sätta affärsviabilitet i riskzonen. Små och medelstora företag som inte genomför lämpliga åtgärder utsätts för förlust av kontrakt, renomméskada och i värsta fall, cyberattacker som förlamar deras aktivitet. Enligt Lerena kan ”mycket mer allvarligt än böterna vara kontinuiteten i verksamheten. Den verkliga risken är Att inte kunna driva efter en allvarlig incident”
Reglerna inför också strikta tidsfrister för Anmälan om säkerhetsincidentersom tvingar små och medelstora företag att etablera interna protokoll till Identifiera och rapportera attacker på en viss tid. Att inte följa dessa tidsfrister kan leda till ytterligare sanktioner, vilket förvärrar pressen på små och medelstora företag och deras reaktionskapacitet för digitala hot.
