Con el fin de mejorar la capacidad de resiliencia y de respuesta a los imprevistos tanto del sector público como del privado y de la UE en su conjunto, el Consejo y el Parlamento Europeo han acordado medidas para lograr un alto nivel común de ciberseguridad en toda la Unión.
Una vez adoptada, la nueva directiva, denominada «NIS2», sustituirá a la actual directiva sobre seguridad de las redes y los sistemas de información (la directiva NIS).
Mayor gestión de riesgos e incidentes y cooperación
La NIS2 establecerá la base para las medidas de gestión de riesgos de ciberseguridad y las obligaciones de información en todos los sectores cubiertos por la directiva, como la energía, el transporte, la sanidad y las infraestructuras digitales.
La directiva revisada pretende eliminar las divergencias en los requisitos de ciberseguridad y en la aplicación de las medidas de ciberseguridad en los distintos Estados miembros. Para lograrlo, establece unas normas mínimas para un marco regulador y fija mecanismos para una cooperación eficaz entre las autoridades pertinentes de cada Estado miembro. Actualiza la lista de sectores y actividades sujetos a las obligaciones de ciberseguridad y prevé recursos y sanciones para garantizar su cumplimiento.
La directiva establecerá formalmente la Red Europea de Organización de Enlace para Crisis Cibernéticas, EU-CyCLONe, que apoyará la gestión coordinada de incidentes de ciberseguridad a gran escala.
Principales ciberamenazas en la UE
|
Ampliación del ámbito de aplicación de las normas
Mientras que con la antigua directiva NIS los Estados miembros eran responsables de determinar qué entidades cumplían los criterios para ser consideradas operadores de servicios esenciales, la nueva directiva NIS2 introduce una norma de límite de tamaño. Esto significa que todas las entidades medianas y grandes que operan en los sectores o prestan servicios cubiertos por la directiva entrarán en su ámbito de aplicación.
Aunque el acuerdo entre el Parlamento Europeo y el Consejo mantiene esta norma general, el texto acordado provisionalmente incluye disposiciones adicionales para garantizar la proporcionalidad, un mayor nivel de gestión del riesgo y unos criterios de criticidad bien definidos para determinar las entidades cubiertas.
El texto también aclara que la directiva no se aplicará a las entidades que realicen actividades en ámbitos como la defensa o la seguridad nacional, la seguridad pública, las fuerzas del orden y el poder judicial. Los parlamentos y los bancos centrales también quedan excluidos del ámbito de aplicación.
Como las administraciones públicas también suelen ser objeto de ciberataques, la NIS2 se aplicará a las entidades de la administración pública a nivel central y regional. Además, los Estados miembros pueden decidir que se aplique también a estas entidades a nivel local.
Cyber threats outreach in telecom. Guidelines for national authorities and telecom providers on outreach to users about cyber threats
|
Otros cambios introducidos por los colegisladores
El Parlamento Europeo y el Consejo han alineado el texto con la legislación sectorial, en particular el Reglamento sobre la resistencia operativa digital para el sector financiero (DORA) y la Directiva sobre la resistencia de las entidades críticas (CER), para aportar claridad jurídica y garantizar la coherencia entre NIS2 y estos actos.
Un mecanismo voluntario de aprendizaje entre pares aumentará la confianza mutua y el aprendizaje de buenas prácticas y experiencias, contribuyendo así a alcanzar un alto nivel común de ciberseguridad.
Los dos colegisladores también han simplificado las obligaciones de notificación para evitar que se produzca un exceso de notificación y se cree una carga excesiva para las entidades cubiertas.
Los Estados miembros tendrán 21 meses a partir de la entrada en vigor de la Directiva para incorporar las disposiciones a su legislación nacional.
Más información:Consejo Europeo – Comunicado de prensa
Deja una respuesta