No pasa una semana sin que se produzca un ciberataque. Si bien los hospitales y los ayuntamientos parecían más afectados, ahora las empresas más importantes, como Free o Picard, están en el punto de mira. ¿Ha evolucionado la amenaza?
A menudo tomo la imagen del rastreo: hoy en día, los ciberdelincuentes atacan cualquier objetivo de forma indeterminada. A medida que las entidades más críticas se protegen, la amenaza se traslada cada vez más al público en general.
¿Entonces el riesgo es más difuso?
Sí, y los ciberataques se están convirtiendo en la norma. Bretaña recuerda, por ejemplo, los incidentes que afectaron al hospital universitario de Rennes y, más recientemente, a la clínica Sagesse.
¿Está evolucionando la conciencia sobre el tema?
Está progresando pero sigue siendo insuficiente. Hay que reforzarlo y todos deben asegurarse de tomar las medidas adecuadas. Es un esfuerzo, eso seguro, hay que invertir en herramientas, adaptar tu organización, formar a tus empleados. Pero seguirá siendo menos costoso que afrontar un ataque, que puede costar hasta varios millones de euros.
El 15 de octubre usted presentó en el Consejo de Ministros un proyecto de ley que transpone la directiva europea NIS 2, con el fin de reforzar las obligaciones de ciberprotección. ¿Qué cambiará?
Hasta ahora, unas 300 entidades públicas y privadas estaban obligadas a protegerse, en el futuro serán más de 15.000. Empresas, comunidades, hospitales, etc. También pasamos de seis sectores de actividad específicos (energía, finanzas, salud, transporte, etc.) a 18. Áreas como la administración pública, el espacio, los servicios postales, la gestión de residuos, la química, la investigación, proveedores digitales o la industria agroalimentaria.
¿Están todos notificados de los próximos cambios?
Este es un punto de vigilancia. La Agencia Nacional de Seguridad de los Sistemas de Información (Anssi) ya ha trabajado mucho y ha realizado 70 consultas para plantear las necesidades sobre el terreno y crear conciencia. Para orientar a las entidades interesadas, el portal “Mi espacio NIS 2” se ha puesto en línea en versión beta y se irá enriqueciendo progresivamente. Nos aseguraremos de continuar fortaleciendo la comunicación sobre esta herramienta.
¿Están previstos controles y sanciones?
Nos comprometemos a apoyar a las entidades interesadas. Pero para que se pueda crear conciencia y las normas surtan efecto, la directiva que estamos transponiendo prevé sanciones. El proyecto de ley extrae las consecuencias en consecuencia, sin transposición excesiva.
Cada año que pasa significa correr el riesgo de ser atacado.
Las medidas del proyecto de ley deben entrar en vigor tan pronto como se adopte, pero las empresas y las comunidades creen que el plazo es demasiado corto. ¿Qué les respondes?
Somos conscientes de que debemos darles tiempo para que cumplan. Lo importante es que no digamos “todavía nos quedan tres años” y que al final no retomemos el tema. Por lo tanto, al principio habrá controles en blanco realizados por Anssi, en su lógica de soporte. Esto debe empezar lo antes posible. Cada año que pasa significa correr el riesgo de ser atacado.
¿Podemos esperar alguna novedad?
El texto es equilibrado y fiel a la directiva, pero seguimos atentos al terreno y el gobierno tendrá la oportunidad de comentar las novedades que podrían proponerse durante los debates en el Parlamento. Nos aseguraremos de que la implementación sea proporcionada y muy gradual.
¿Cuál es el calendario para el proyecto de ley en el Parlamento?
El texto fue transmitido al Senado, que creó su comisión especial la semana pasada. Debería examinarse en una sesión a principios de año, luego en la Asamblea, para su adopción final en la primavera de 2025, sujeto a cualquier evolución que pueda ocurrir en el calendario parlamentario de aquí a entonces.
France
