La Unión Europea trabaja para mejorar la resiliencia frente a las ciberamenazas cada vez mayores y para mantener la sociedad y la economía digital seguras.
El Consejo Europeo ha acordado su posición sobre medidas para un alto nivel común de ciberseguridad en toda la Unión Europea, para mejorar todavía más la resiliencia y las capacidades de respuesta a incidentes tanto del sector público como privado y de la UE en su conjunto.
Una vez aprobada, la nueva directiva, denominada NIS2, sustituirá a la directiva actual sobre seguridad de redes y sistemas de información (la directiva NIS).
La NIS2 establecerá la línea de base para las medidas de gestión del riesgo de ciberseguridad y las obligaciones de presentación de informes en todos los sectores cubiertos por la directiva, como la energía, el transporte, la salud y la infraestructura digital.
La directiva revisada pretende eliminar las divergencias en los requisitos de ciberseguridad y la implementación de las medidas de ciberseguridad a los diferentes estados miembros. Para conseguirlo, establece normas mínimas para un marco normativo y mecanismos para una cooperación efectiva entre las autoridades relevantes de cada estado miembro. También actualiza la lista de sectores y actividades sujetas a obligaciones de ciberseguridad, y prevé recursos y sanciones para garantizar su ejecución.
La directiva establecerá formalmente la Red Europea de Organización de Cibercrisis de Enlace, EU-CyCLONe, que dará apoyo a la gestión coordinada de incidentes de ciberseguridad a gran escala.
Si bien, según la antigua directiva NIS, los estados miembros eran responsables de determinar qué entidades cumplirían los criterios para calificarse como operadores de servicios esenciales, la nueva directiva NIS2 introduce una regla de límite de tamaño. Eso significa que todas las entidades medias y grandes que operan dentro de los sectores o prestan servicios objeto de la directiva entrarán en su ámbito de aplicación.
Aunque la posición del Consejo mantiene esta norma general, incluye disposiciones adicionales para garantizar la proporcionalidad, un mayor nivel de gestión del riesgo y criterios claros para la determinación de las entidades cubiertas.
El texto del Consejo también aclara que la directiva no se aplicará a las entidades que desarrollen actividades en ámbitos como la defensa o la seguridad nacional, la seguridad pública, la policía y el poder judicial. También quedan excluidos de su ámbito los parlamentos y los bancos centrales.
Dado que las administraciones públicas también son a menudo objetivo de ciberataques, la NIS2 se aplicará a las entidades de administración pública de los gobiernos centrales. Además, los estados miembros pueden decidir que se aplique a estas entidades también a nivel regional y local.
El Consejo ha alineado el texto con la legislación sectorial específica, en particular el Reglamento sobre la resiliencia operativa digital del sector financiero (DORA) y la Directiva sobre la resiliencia de las entidades críticas (CER), para proporcionar claridad jurídica y garantizar la coherencia entre la NIS2 y estos actos.
Un mecanismo voluntario de aprendizaje entre iguales aumentará la confianza mutua y el aprendizaje de buenas prácticas y experiencias, contribuyendo así a alcanzar un alto nivel común de ciberseguridad.
Los estados miembros tendrán dos años desde la entrada en vigor de la directiva para incorporar las disposiciones a su legislación estatal.
_____
Aquest apunt en català / This post in English / Post en français