NIS2 y DORA: lo que las empresas del sector tecnológico necesitan saber

La Directiva de seguridad en materia de sistemas de redes e información (NIS2) y la legislación sobre la Ley de resiliencia operativa digital (DORA), que deben ser aplicadas por determinadas empresas de la UE este año, están diseñadas para remodelar el panorama de la ciberseguridad en todo el continente.  
 

Aunque es posible que la legislación NIS2 y DORA no se aplique directamente a algunas empresas de informática y software, sus clientes pueden optar por evaluar la ciberseguridad y la resiliencia operativa de sus proveedores externos críticos para garantizar el cumplimiento de la legislación. En este sentido, es de vital importancia que las empresas tecnológicas sean conscientes de los nuevos requisitos y de los posibles riesgos que conlleva, para implementar estrategias de mitigación de riesgos en consecuencia. 
 

Este artículo proporciona algunas segerenciac para que las empresas informáticas y software puedan minimizar su exposición al riesgo y la responsabilidad, teniendo en cuenta esta nueva legislación.  

Transparencia y comunicación como piedras angulares 

Política de divulgación de vulnerabilidades de software (PDV): Fomentar una cultura de notificación responsable de vulnerabilidades mediante el establecimiento de una PDV bien definida. Se debe incentivar a los clientes para que informen a su proveedor de las vulnerabilidades de software o de informática. La PDV debe detallar claramente cómo informar sobre vulnerabilidades, el proceso de coordinación de correcciones y garantizar a los denunciantes el anonimato y la protección frente a represalias. 
 

Gestión de parches: Establecer un sistema para abordar rápidamente las vulnerabilidades identificadas mediante pruebas internas o informes de clientes. Cuando se detectan vulnerabilidades, las empresas de informática deben comunicar claramente a sus clientes la naturaleza del problema, el impacto potencial y la disponibilidad de un parche o actualización.  
 

Utilizar un lenguaje claro: Evitar la jerga o el lenguaje demasiado técnico cuando se comunique a los clientes problemas de seguridad o actualizaciones. El uso de un lenguaje claro y conciso facilitará la comprensión de las comunicaciones por parte de sus clientes.  
 

Documentar todo: Las empresas de informática deben crear procesos bien definidos para documentar todas las interacciones con los clientes, incluido el asesoramiento prestado y los acuerdos. Si tienen un desacuerdo con un cliente o se encuentran con la amenaza de responsabilidad, disponer de documentación detallada puede ayudar a respaldar su posición.     
 

Confianza del cliente: La obtención de certificaciones o informes de auditoría SOC2 puede garantizar a los clientes que el entorno de control de seguridad de su proveedor de TI es seguro y de alto nivel. Mantener la disposición a compartir los resultados de las pruebas de control en circunstancias determinadas con clientes y reguladores.  
 

Pruebas de penetración basadas en amenazas: Cuando los clientes lo requieran, las empresas de TI deben planificar la participación en ejercicios de pruebas de penetración basadas en amenazas, incluidas las pruebas de agrupación. 

Aprovechar el poder de los contratos 

Exenciones de responsabilidad claras: Para los proveedores de software, se recomienda incluir cláusulas de exención de responsabilidad en los acuerdos de licencia de software que detallan las limitaciones de las capacidades de seguridad del software, con el fin de establecer expectativas claras. Destacar para qué está diseñado el software y las medidas de seguridad que se han implementado dentro de sus funcionalidades. 
 

Alcance del servicio: Un contrato bien definido y/o Acuerdo de Nivel de Servicio (ANS) detalla los servicios específicos prestados por la empresa tecnológica y sus obligaciones. Esto ayudará a establecer exactamente de qué es responsable la empresa tecnológica. También es útil indicar lo que el proveedor de informática no hará, para evitar dudas.  
 

Obligaciones del cliente: El contrato debe detallar claramente las responsabilidades de seguridad del cliente, siendo la más importante la notificación de incidentes. Las responsabilidades también pueden incluir actualizaciones puntuales de software, controles adecuados de acceso de los usuarios y el cumplimiento de las mejores prácticas de seguridad. Cuando se trabaja con grandes organizaciones que tienen sus propios departamentos de informática internos, la necesidad de una redacción clara que detalle las obligaciones de cada parte es aún más importante.  
 

Garantías limitadas: Piensa en incluir garantías limitadas en los acuerdos entre el proveedor de informática y el cliente que excluyan la responsabilidad por daños indirectos o consecuentes derivados de ciberataques, y asegúrese de que la responsabilidad esté siempre limitada a un nivel razonable. Estas limitaciones pueden ayudar a gestionar la posible exposición a la responsabilidad. 
 

Cláusulas de indemnización: En algunos casos, las empresas de informática y software podrían considerar la posibilidad de incorporar cláusulas de indemnización en sus contratos. También podrían querer incluir cláusulas de fuerza mayor, como la definición de un ciberataque como fuerza mayor en el contrato. Estas cláusulas pueden trasladar cierta responsabilidad al cliente, pero son complejas y pueden no ser ejecutables en todos los territorios. Consultar con un asesor jurídico es crucial.  

Educar y capacitar a los clientes 

Documentación de seguridad: La completa documentación de seguridad de informática permite a los clientes utilizar su software de forma segura. Esta documentación debe detallar las mejores prácticas para la configuración y el despliegue seguros del software y ayudarles a sacar el máximo partido de sus funciones de seguridad. Como se ha mencionado anteriormente, el texto de esta documentación debe ser exhaustivo y fácil de entender.  
 

Información a los clientes: Las empresas de informática y software deben tratar de informar a los clientes si su nivel actual o propuesta de seguridad de TI es deficiente. Por ejemplo, si no utilizan autenticación multifactor o tienen una capacidad de firewall deficiente. Siempre que se informe a los clientes de dichas debilidades, debe documentarse claramente.   
 

Formación sobre sensibilización en materia de seguridad: Las empresas tecnológicas deberían considerar la posibilidad de ofrecer formación sobre ciberseguridad a sus clientes. Esta formación puede enseñarles a utilizar sus sistemas de informática de forma segura e identificar posibles amenazas. Es igualmente importante que las empresas de informática se aseguren de que también imparten una formación similar internamente.  

Resumen 

Estas son recomendaciones generales, y los procesos específicos implementados dependerán de la naturaleza de las operaciones y productos de una empresa tecnológica, su mercado objetivo y el entorno legal en el que opera. Consultar con un asesor jurídico y la aseguradora es crucial para garantizar que su enfoque se ajuste a las normas y mejores prácticas pertinentes. Sin embargo, los principios generales aquí descritos pueden ayudar a las empresas de informática y software a desarrollar un marco más sólido y resistente para mitigar el riesgo y la responsabilidad.   
 

Desde responsabilidad general hasta ciberseguridad, propiedad y errores y omisiones, la Práctica del Sector Tecnológico de Chubb ofrece soluciones de seguros para empresas tecnológicas de todos los tamaños en una amplia gama de sectores.