|
Hoy, el Consejo y el Parlamento Europeo acordaron medidas para un alto nivel común de ciberseguridad en toda la Unión , para mejorar aún más la resiliencia y las capacidades de respuesta a incidentes del sector público y privado y de la UE en su conjunto.
Una vez adoptada, la nueva directiva, denominada ‘ NIS2 ‘, sustituirá a la actual directiva sobre seguridad de redes y sistemas de información (la directiva NIS).
Mayor gestión y cooperación de riesgos e incidentes
NIS2 establecerá la línea de base para las medidas de gestión de riesgos de ciberseguridad y las obligaciones de información en todos los sectores cubiertos por la directiva, como la energía, el transporte, la salud y la infraestructura digital.
La directiva revisada tiene como objetivo eliminar las divergencias en los requisitos de ciberseguridad y en la implementación de medidas de ciberseguridad en diferentes estados miembros. Para lograrlo, establece reglas mínimas para un marco regulatorio y establece mecanismos para una cooperación efectiva entre las autoridades relevantes en cada estado miembro. Actualiza la lista de sectores y actividades sujetos a obligaciones de seguridad cibernética, y establece remedios y sanciones para garantizar el cumplimiento.
La directiva establecerá formalmente la Red Europea de Organización de Enlace de Crisis Cibernéticas, EU-CYCLONe , que apoyará la gestión coordinada de incidentes de ciberseguridad a gran escala .
Ampliación del ámbito de aplicación de las normas
Mientras que bajo la antigua directiva NIS, los estados miembros eran responsables de determinar qué entidades cumplirían los criterios para calificar como operadores de servicios esenciales, la nueva directiva NIS2 introduce una regla de límite de tamaño . Esto significa que todas las entidades medianas y grandes que operen dentro de los sectores o presten servicios cubiertos por la directiva entrarán dentro de su ámbito de aplicación.
Si bien el acuerdo entre el Parlamento Europeo y el Consejo mantiene esta regla general, el texto acordado provisionalmente incluye disposiciones adicionales para garantizar la proporcionalidad , un mayor nivel de gestión de riesgos y criterios claros de criticidad para determinar las entidades cubiertas.
El texto también aclara que la directiva no se aplicará a las entidades que realicen actividades en áreas como la defensa o la seguridad nacional , la seguridad pública, las fuerzas del orden y el poder judicial. Los parlamentos y los bancos centrales también están excluidos del ámbito de aplicación.
Dado que las administraciones públicas también suelen ser objeto de ciberataques, NIS2 se aplicará a las entidades de la administración pública de los gobiernos centrales [incluidas las universidades y las instituciones de investigación] . Además, los estados miembros pueden decidir que se aplique también a tales entidades a nivel regional y local.
Otros cambios introducidos por los colegisladores
El Parlamento Europeo y el Consejo han alineado el texto con la legislación específica del sector , en particular, el Reglamento sobre la resiliencia operativa digital para el sector financiero (DORA) y la Directiva sobre la resiliencia de las entidades críticas (CER), para aportar claridad jurídica y garantizar coherencia entre NIS2 y estos actos.
Un mecanismo voluntario de aprendizaje entre pares aumentará la confianza mutua y el aprendizaje de buenas prácticas y experiencias, contribuyendo así a lograr un alto nivel común de ciberseguridad.
Los dos colegisladores también han simplificado las obligaciones de información para evitar que se produzca un exceso de información y se cree una carga excesiva para las entidades cubiertas.
Los estados miembros tendrán 21 meses a partir de la entrada en vigor de la directiva para incorporar las disposiciones a su legislación nacional.
Próximos pasos
El acuerdo provisional concluido hoy está ahora sujeto a la aprobación del Consejo y el Parlamento Europeo.
Por parte del Consejo, la presidencia francesa tiene la intención de presentar el acuerdo al Comité de Representantes Permanentes del Consejo para su aprobación a finales de mayo de 2022.
Proyecto de directiva sobre medidas para un alto nivel común de ciberseguridad en toda la Unión: texto provisional del acuerdo
Proyecto de directiva sobre medidas para un alto nivel común de ciberseguridad en toda la Unión – Orientación general del Consejo
Ciberseguridad: cómo aborda la UE las ciberamenazas (información de referencia)
Un futuro digital para Europa (información de referencia)
Cómo responde la UE a las crisis y aumenta la resiliencia (información de referencia)
Dar forma al futuro digital de Europa – Políticas de ciberseguridad (información de la Comisión)
|