La Comisión ha adoptado las primeras normas de aplicación sobre ciberseguridad de entidades y redes críticas en el marco de la Directiva sobre medidas para un nivel elevado y común de ciberseguridad en la Unión(Directiva NIS2). Este acto de ejecución detalla las medidas de gestión de riesgos de ciberseguridad, así como los casos en que un incidente debe considerarse significativo y las empresas proveedoras de infraestructuras y servicios digitales deben notificarlo a las autoridades nacionales. Se trata de otro gran paso para impulsar la ciberresiliencia de las infraestructuras digitales críticas de Europa.
El Reglamento de Ejecución adoptado se aplicará a categorías específicas de empresas que prestan servicios digitales, como proveedores de servicios de computación en nube, proveedores de servicios de centros de datos, mercados en línea, motores de búsqueda en línea y plataformas de redes sociales, por citar algunos. Para cada categoría de proveedores de servicios, el acto de ejecución también especifica cuándo un incidente se considera significativo.
La adopción del Reglamento de Ejecución coincide con la fecha límite para que los Estados miembros transpongan la Directiva NIS2 a la legislación nacional. A partir de hoy, 18 de octubre de 2024, todos los Estados miembros tendrán que aplicar las medidas necesarias para cumplir las normas de ciberseguridad NIS2, incluidas las medidas de supervisión y ejecución.
Próximos pasos
El Reglamento de aplicación se publicará en el Diario Oficial a su debido tiempo y entrará en vigor 20 días después.
Antecedentes
La primera ley a escala de la UE sobre ciberseguridad, la Directiva SRI, entró en vigor en 2016 y contribuyó a alcanzar un nivel común de seguridad de los sistemas de red y de información en toda la UE. Como parte de su objetivo político clave de hacer que Europa esté preparada para la era digital, la Comisión propuso la revisión de la Directiva SRI en diciembre de 2020. Tras entrar en vigor en enero de 2023, los Estados miembros tenían que transponer la Directiva NIS2 a la legislación nacional antes del 17 de octubre de 2024.
La Directiva NIS2 pretende garantizar un alto nivel de ciberseguridad en toda la Unión. Abarca las entidades que operan en sectores críticos para la economía y la sociedad, incluidos los proveedores de servicios públicos de comunicaciones electrónicas, gestión de servicios de TIC, servicios digitales, gestión de aguas residuales y residuos, espacio, salud, energía, transporte, fabricación de productos críticos, servicios postales y de mensajería y administración pública.
La Directiva refuerza los requisitos de seguridad impuestos a las empresas y aborda la seguridad de las cadenas de suministro y las relaciones con los proveedores. Racionaliza las obligaciones de información, introduce medidas de supervisión más rigurosas para las autoridades nacionales, así como requisitos de aplicación más estrictos, y pretende armonizar los regímenes de sanciones en todos los Estados miembros. Contribuirá a aumentar el intercambio de información y la cooperación en la gestión de crisis cibernéticas a nivel nacional y de la UE.
Para más información: Comisión Europea
Publicaciones relacionadas:
Mes Europeo de la Ciberseguridad 2022
La Comisión Europea adopta una propuesta de Ley para reforzar las capacidades de ciberseguridad en la UE
Entran en vigor nuevas normas para impulsar la ciberseguridad de las instituciones de la UE
Mes Europeo de la Ciberseguridad
Los europeos se preocupan por el fraude bancario en línea, el uso indebido de datos y los ataques terroristas
Deja una respuesta