El aumento de ataques informáticos ha llevado a muchas empresas a enfrentar interrupciones en su actividad, lo que plantea la cuestión de si estos incidentes pueden considerarse fuerza mayor para tramitar un expediente de regulación temporal de empleo (ERTE).
Aunque la normativa vigente no especifica claramente los supuestos que se pueden incluir en esta categoría, el Tribunal Supremo, en su sentencia 908/2024, ha respaldado la posibilidad de aplicar un ERTE de fuerza mayor en caso de paralización de la actividad por un ciberataque.
El Tribunal define la fuerza mayor como eventos inevitables, incluso si son previsibles, y aclara que no se limita a desastres naturales, sino que también incluye incidentes provocados por el ser humano. En el caso analizado en la sentencia, una empresa sufrió un ataque de ransomware que comprometió su información crítica, a pesar de haber implementado medidas de seguridad.
El Supremo consideró que el ataque era inevitable y desestimó la idea de que se tratara de un riesgo previsible. Además, refutó el argumento de que los trabajadores podían seguir operando, ya que la paralización de los sistemas impidió el uso de herramientas esenciales. Para que un ciberataque se considere fuerza mayor, debe tener un impacto que exceda lo previsible y debe demostrarse que se tomaron medidas preventivas adecuadas.
En definitiva, el SEPE solo apoyará a las empresas con prestaciones de desempleo si se demuestra que el ataque fue inevitable y que se adoptaron las diligencias necesarias para prevenirlo.
Ahora bien; ¿cuáles serían estas diligencias debidas? ¿Qué medidas concretas debe adoptar una empresa para poder argumentar que tomó todas las medidas preventivas razonables y necesarias?
Lo cierto es que es complicado realizar un listado pues probablemente el número y características de las medidas a desplegar dependerá también de la criticidad y posibles repercusiones del posible ataque así como de los medios disponibles. Es por eso que no sería razonable exigirle a una pequeña PYME unas inversiones parejas a las de una gran empresa.
En este sentido, la nueva directiva NIS2 (Directiva sobre la Seguridad de las Redes y Sistemas de Información) ya establece una serie de medidas que buscan mejorar la ciberseguridad, especialmente en sectores críticos como la energía, el transporte, la salud y los servicios digitales.
Entre estas medidas se incluyen la obligación de realizar evaluaciones de riesgos, adoptar medidas de prevención y respuesta ante incidentes, y notificar a las autoridades competentes sobre cualquier incidente significativo. Si las empresas cumplen con estas obligaciones, estarán mejor preparadas para mitigar el impacto de un ciberataque y, en caso de que ocurra uno, podrían argumentar que han tomado las diligencias necesarias para prevenirlo.
Además, la NIS2 enfatiza la importancia de la resiliencia cibernética, lo que significa que las empresas deben ser capaces de recuperarse rápidamente de un ataque. Esto puede influir en la evaluación de si un ciberataque puede considerarse fuerza mayor, ya que la normativa establece un marco claro sobre las expectativas de seguridad y respuesta ante incidentes.
Hemos visto que la NIS2 nos marca una buena guía de actuación sobre las medidas a implementar para las empresas que se encuentran incluidas en su ámbito de aplicación, pero ¿qué sucede con el resto de empresas? Si no tenemos o no queremos aplicar un marco como el de NIS2 pero necesitamos dotarnos de un nivel razonable de seguridad que nos permita argumentar que hemos tomado las diligencias debidas, es fundamental aplicar una planificación clara y organizada en lo que se refiere a la ciberseguridad de la organización.
Realizar auditorías periódicas que permitan identificar vulnerabilidades en la infraestructura de TI y evaluar los riesgos asociados resulta esencial así como proporcionar formación continua a los empleados sobre ciberseguridad, ya que les ayuda a identificar correos electrónicos de phishing o ransomware y a adoptar prácticas seguras de navegación. Establecer políticas claras de seguridad de la información, que incluyan el uso de contraseñas seguras y el acceso restringido a datos sensibles, es igualmente importante.
Mantener todos los sistemas operativos, software y aplicaciones actualizados con los últimos parches de seguridad protege contra vulnerabilidades conocidas, mientras que la implementación de firewalls robustos y software antivirus/malware ayuda a detectar y bloquear amenazas. Realizar copias de seguridad regulares de datos críticos y utilizando sistemas de copia protegidos frente a ataques y ransomware (con sistemas de copia inmutable, airgap, cifrado, autenticación fuerte en el acceso,…) y con copia externa de los datos garantiza la recuperación en caso de un ataque.
Asimismo, es crucial gestionar los permisos de acceso a la información sensible mediante autenticación multifactor (MFA) y monitorear continuamente para detectar actividades sospechosas y contar con sistemas de detección y respuesta ante incidentes (XDR/EDR) monitorizados en un SOC 24/7. Desarrollar y probar un plan de respuesta a incidentes que detalle los pasos a seguir en caso de un ataque, incluyendo la comunicación interna y externa, es vital para una respuesta efectiva.
Por último, considerar la colaboración con expertos en ciberseguridad o servicios de consultoría puede ser una estrategia valiosa para evaluar y mejorar las medidas de seguridad existentes.
Al adoptar estas prácticas, las empresas pueden reducir significativamente el riesgo de sufrir un ataque cibernético y estar mejor preparadas para responder si ocurre uno, pudiendo argumentar ante el SEPE, si fuera necesario, que se han adoptados las diligencias de ciberseguridad debidas y optar a la solicitud de ERTE en caso de necesitarlo a consecuencia de un ciberataque.
