Como es sabido, un ciberataque puede tener un impacto significativo en el valor de cotización de las acciones de una empresa, dependiendo de la naturaleza y la gravedad del ataque. Entre los factores que pueden afectar a esta cotización, podemos destacar:
- La pérdida de ingresos: Si el ciberataque interrumpe el funcionamiento normal de la empresa, puede haber una pérdida significativa de ingresos derivada de la interrupción de la producción, la rescisión o incumplimiento de contratos, la reducción de las ventas, etc. Informar de una reducción de los ingresos debido a un ciberataque, puede afectar negativamente a la confianza de los inversores y del mercado en general.
- Los costes de recuperación: Estos costes, muy relevantes en situaciones de incidentes que requieren gestiones urgentes, podrían incluir la contratación de expertos en seguridad informática, la reparación de sistemas dañados, la notificación a los clientes afectados, costes de gestión legal, etc.
- La pérdida de confianza: Si la empresa equivoca su estrategia de gestión del incidente, su reputación puede verse perjudicada al igual que la confianza de los inversores, quienes pueden optar por retirar sus inversiones, con la consiguiente pérdida de valor de las acciones.
- La imposición de multas y otras sanciones: Si la empresa hubiese incumplido la normativa de protección de datos y de seguridad, puede enfrentarse a multas cada vez más relevantes y de mayor impacto.
Ante un escenario cada vez más sofisticado desde el punto de vista técnico, como complejo desde la perspectiva normativa y regulatoria, el informe publicado por la Fundación Esys en marzo de 2023 aborda aspectos relevantes de los procesos gestión de la responsabilidad de los órganos de dirección de las empresas cotizadas, tales como la posible calificación jurídica de información privilegiada de los datos sobre la producción e impacto de un incidente en una empresa.
Esta situación se convierte en un riesgo de alto impacto que los programas de compliance de este tipo de compañías deben prever y mitigar, especialmente a la vista de las nuevas responsabilidades que la conocida como Directiva NIS2, recoge en su articulado.
En este sentido, el artículo 21 de la nueva Directiva diseña un régimen de responsabilidad directa de los miembros de los órganos de dirección de las entidades esenciales e importantes, quienes deberán aprobar las medidas para la gestión de riesgos de ciberseguridad y supervisar su puesta en práctica. Adicionalmente, ese mismo artículo les obliga a asistir a formaciones que les permitan adquirir conocimientos y destrezas suficientes que les permitan detectar riesgos y evaluar su repercusión en los servicios proporcionados por la entidad. Entre estos riesgos, también deben incorporarse los riesgos financieros y de negocio derivados de ciberataques y otros incidentes de seguridad.
Especialmente destacable es que entre tales medidas se incluya la seguridad de la cadena de suministro, lo que obligará a un nivel de diligencia adicional al perseguido hasta ahora, pues se amplía el nivel de exposición del riesgo a extremos de -en la mayoría de las ocasiones- difícil conocimiento, salvo que se recurra a herramientas de RegTech.
Adicionalmente, el citado informe aborda una serie de aspectos clave para la gestión de lo comúnmente conocido como “insider trading”, que se ha convertido en una de las principales amenazas para aquellas empresas cotizadas que sufren un incidente de ciberseguridad relevante. De tal manera que, si concluimos que los ciberataques pueden afectar al valor normal de las acciones de una compañía, aquellos se convierten en una herramienta idónea para poder manipular artificialmente el valor de mercado de una empresa cotizada.
También se dedica un apartado a analizar la tipología penal de este tipo de actuaciones, así como de la regulación sectorial recogida en la Ley del Mercado de Valores, donde la CNMV debe jugar un papel fundamental tanto en la investigación como en la persecución de prácticas que pueden ser cada vez más frecuentes si no se implementan medidas disuasorias que las impidan. Precisamente por ello, normativa como la de protección del denunciante, o la propia normativa NIS, introducen sistemas que permitan denunciar de manera fácil y segura cualquier irregularidad que se conozca con respecto a otros efectos de los ciberataques que vayan más allá del mero daño tecnológico, y que alcancen -incluso- a conductas de tipo concurrencial.