El Consejo Europeo adoptó determinados aspectos legislativos con el fin de aplicarlos a un alto nivel común de ciberseguridad en toda la Unión. El objetivo es mejorar todavía más la resiliencia y las capacidades de respuesta a incidentes del sector público y privado y de la Unión en conjunto.

La nueva directiva, denominada ‘NIS2’, sustituirá a la directiva actual sobre seguridad de redes y sistemas de información (la directiva NIS). Con esta iniciativa, desde el mismo Consejo consideran que sin duda la ciberseguridad seguirá siendo un reto clave para los próximos años. En esta línea, la nueva legislación es una apuesta enorme para nuestras economías y nuestros ciudadanos.

La NIS2 establecerá la línea de base para las medidas de gestión del riesgo de ciberseguridad y las obligaciones de información en todos los sectores que están cubiertos por la directiva, como la energía, el transporte, la salud y la infraestructura digital.

La directiva revisada tiene como objetivo armonizar los requisitos de ciberseguridad y la implementación de medidas de ciberseguridad en los diferentes estados miembros. Para conseguirlo, establece normas mínimas para un marco normativo y mecanismos para una cooperación efectiva entre las autoridades relevantes de cada estado miembro. Actualiza la lista de sectores y actividades sujetas a obligaciones de ciberseguridad y prevé recursos y sanciones para garantizar su ejecución.

La directiva establecerá formalmente la Red Europea de Organización de Enlace de Crisis Cibernéticas, EU-CYCLONE, que prestará apoyo a la gestión coordinada de incidentes y crisis de ciberseguridad a gran escala.

Si bien, según la antigua directiva NIS, los estados miembros eran los encargados de determinar qué entidades cumplirían los criterios para calificarse como operadores de servicios esenciales, la nueva directiva NIS2 introduce una regla de límite de tamaño como regla general para la identificación de entidades reguladas. Eso significa que todas las entidades medianas y grandes que operan dentro de los sectores o prestan servicios objeto de la directiva entrarán en su ámbito de aplicación.

A pesar de que la directiva revisada mantiene esta norma general, su texto incluye disposiciones adicionales para garantizar la proporcionalidad, un mayor nivel de gestión del riesgo y criterios de criticidad claros para permitir a las autoridades nacionales determinar otras entidades cubiertas.

El texto también aclara que la directiva no se aplicará a las entidades que desarrollen actividades en ámbitos como la defensa o la seguridad nacional, la seguridad pública y la aplicación de la ley. El poder judicial, los parlamentos y los bancos centrales también quedan excluidos de su ámbito.

La NIS2 se aplicará igualmente a las administraciones públicas a nivel central y regional. Además, los estados miembros pueden decidir que se aplique a estas entidades también a nivel local.

Por otra parte, la nueva directiva se ha alineado con la legislación sectorial específica, en particular la regulación sobre la resiliencia operativa digital del sector financiero (DORA) y la directiva sobre la resiliencia de las entidades críticas (CER), para proporcionar claridad jurídica y garantizar la coherencia entre la NIS2 y estos actos.

Un mecanismo voluntario de aprendizaje entre iguales aumentará la confianza mutua y el aprendizaje de las buenas prácticas y experiencias en la Unión, contribuyendo así a alcanzar un alto nivel común de ciberseguridad.

La nueva legislación también racionaliza las obligaciones de declaración para evitar que se produzca una sobreinformación y una carga excesiva para las entidades cubiertas.

_____

Aquest apunt en català / This post in English / Post en français