La Unión Europea aprueba la directiva NIS 2

Ciberseguridad.
Redacción

El Consejo y el Parlamento Europeo han llegado a un acuerdo sobre las medidas para garantizar un nivel común elevado de ciberseguridad en toda la Unión Europea. Esto se traduce en la aprobación de la nueva directiva NIS 2. Esta normativa sustituye a la directiva actual sobre la seguridad de las redes y sistemas de información. Con ella se pretende mejorar la resiliencia y las capacidades de respuesta a incidentes tanto del sector público europeo como del sector privado. Además, sentará las bases para las medidas de gestión de riesgos de ciberseguridad y la obligación de notificación en los sectores que cubre (energía, transporte, sanidad e infraestructura digital).

El objetivo primordial es eliminar las diferencias entre los requisitos de ciberseguridad y de aplicación de las medidas entre los distintos Estados miembros. Para ello, se establecen normas mínimas para un marco regulador y mecanismos para una cooperación eficaz entre las autoridades de cada Estado miembro. Así, se establecerá la Red Europea de Organización de Enlace de Crisis Cibernéticas (EU-CYCLONe) para mejorar la coordinación en la gestión de incidentes de ciberseguridad a gran escala.

El acuerdo alcanzado por el Parlamento y el Consejo Europeo está ahora sujeto a la aprobación formal de los dos colegisladores. Una vez publicada en el Diario Oficial, la directiva NIS 2 entrará en vigor veinte días después de su publicación. A partir de ahí, los Estados miembros deberán transponer en un plazo de 21 meses los nuevos elementos de la directiva a la legislación nacional.

Ampliación del ámbito de aplicación de la directiva NIS 2

En la anterior directiva, los Estados miembros eran responsables de determinar qué entidades cumplían los criterios para ser consideradas como operadores de servicios esenciales. Ahora, la nueva directiva NIS 2 establece una norma sobre el tamaño máximo. En este sentido, el texto acordado incluye disposiciones adicionales para garantizar la proporcionalidad. Asimismo, establece un mayor nivel de gestión de riesgos y criterios específicos para determinar qué entidades están cubiertas.

El texto aprobado detalla las entidades que no serán de aplicación de esta directiva. Así, las que desarrollen actividades en ámbitos como la defensa o seguridad nacional, seguridad pública, policía, poder judicial o los parlamentos y bancos centrales quedarán excluidos de su ámbito de aplicación.

La directiva NIS 2 también será de aplicación para las administraciones públicas, dado su grado de exposición a ciberataques en constante crecimiento.