|
El Consejo ha adoptado legislación para un alto nivel común de ciberseguridad en toda la Unión , para mejorar aún más la resiliencia y las capacidades de respuesta a incidentes tanto del sector público como del privado y de la UE en su conjunto.
La nueva directiva, denominada ‘ NIS2′ , sustituirá a la actual directiva sobre seguridad de redes y sistemas de información (la directiva NIS).
«No hay duda de que la seguridad cibernética seguirá siendo un desafío clave en los próximos años. Lo que está en juego para nuestras economías y nuestros ciudadanos es enorme. Hoy, dimos otro paso para mejorar nuestra capacidad para contrarrestar esta amenaza».
Ivan Bartoš, Viceprimer Ministro checo de Digitalización y Ministro de Desarrollo Regional
Mayor gestión y cooperación de riesgos e incidentes
NIS2 establecerá la línea de base para las medidas de gestión de riesgos de ciberseguridad y las obligaciones de información en todos los sectores cubiertos por la directiva, como la energía, el transporte, la salud y la infraestructura digital.
La directiva revisada tiene como objetivo armonizar los requisitos de ciberseguridad y la implementación de medidas de ciberseguridad en diferentes estados miembros. Para lograrlo, establece reglas mínimas para un marco regulatorio y establece mecanismos para una cooperación efectiva entre las autoridades relevantes en cada estado miembro. Actualiza la lista de sectores y actividades sujetos a obligaciones en materia de ciberseguridad y prevé remedios y sanciones para garantizar su cumplimiento.
La directiva establecerá formalmente la Red Europea de Organización de Enlace de Crisis Cibernéticas, EU-CYCLONe , que apoyará la gestión coordinada de incidentes y crisis de ciberseguridad a gran escala .
Ampliación del ámbito de aplicación de las normas
Mientras que bajo la antigua directiva NIS, los estados miembros eran responsables de determinar qué entidades cumplirían los criterios para calificar como operadores de servicios esenciales, la nueva directiva NIS2 introduce una regla de límite de tamaño como regla general para la identificación de entidades reguladas. Esto significa que todas las entidades medianas y grandes que operen dentro de los sectores o presten servicios cubiertos por la directiva entrarán dentro de su ámbito de aplicación.
Si bien la directiva revisada mantiene esta regla general, su texto incluye disposiciones adicionales para garantizar la proporcionalidad , un mayor nivel de gestión de riesgos y criterios claros de criticidad para permitir que las autoridades nacionales determinen otras entidades cubiertas.
El texto también aclara que la directiva no se aplicará a las entidades que realicen actividades en áreas como la defensa o la seguridad nacional, la seguridad pública y la aplicación de la ley . El poder judicial, los parlamentos y los bancos centrales también están excluidos del alcance.
NIS2 también se aplicará a las administraciones públicas a nivel central y regional. Además, los estados miembros pueden decidir que se aplique también a tales entidades a nivel local.
Otros cambios introducidos por la nueva ley
Además, la nueva directiva se ha alineado con la legislación específica del sector , en particular, el reglamento sobre resiliencia operativa digital para el sector financiero (DORA) y la directiva sobre resiliencia de entidades críticas (CER), para proporcionar claridad jurídica y garantizar la coherencia entre NIS2 y estos actos.
Un mecanismo voluntario de aprendizaje entre pares aumentará la confianza mutua y el aprendizaje de buenas prácticas y experiencias en la Unión, contribuyendo así a lograr un alto nivel común de ciberseguridad.
La nueva legislación también agiliza las obligaciones de información para evitar que se produzca un exceso de información y se cree una carga excesiva para las entidades cubiertas.
Próximos pasos
La directiva se publicará en el Diario Oficial de la Unión Europea en los próximos días y entrará en vigor a los veinte días de esta publicación.
Los estados miembros tendrán 21 meses a partir de la entrada en vigor de la directiva para incorporar las disposiciones a su legislación nacional.
Directiva sobre medidas para un alto nivel común de ciberseguridad en toda la Unión (PE-CONS 32/22)
Proyecto de directiva sobre medidas para un alto nivel común de ciberseguridad en toda la Unión – Orientación general del Consejo
Ciberseguridad: cómo aborda la UE las ciberamenazas (información de referencia)
Un futuro digital para Europa (información de referencia)
|