Togas.biz

El pasado 13 de mayo de 2022, el Consejo de la Unión Europea y el Parlamento Europeo (PE) llegaron a un acuerdo sobre las medidas a implementar para lograr un alto nivel de ciberseguridad común en toda la Unión Europea (UE), con el fin de seguir mejorando la resiliencia y la capacidad de respuesta a los incidentes sufridos tanto en el sector público como en el privado, en el conjunto de la UE.

Como ya adelantábamos en nuestro blog, el proyecto de Directiva NIS2 (NIS2) sigue su curso y establecerá las bases para regular las medidas de gestión de riesgos de ciberseguridad y las obligaciones de información en todos los sectores que se enmarquen en el ámbito de aplicación de la NIS2, tales como la energía, el transporte, la sanidad y las infraestructuras digitales. Sustituirá así a la actual Directiva sobre seguridad de las redes y los sistemas de información (la Directiva NIS). Una vez aprobada, los Estados Miembros (EEMM) contarán con un plazo de 21 meses a partir de la entrada en vigor de la NIS2 para transponerla a sus respectivas legislaciones nacionales.

Esta regulación pretende armonizar los requisitos de ciberseguridad y la implementación de las medidas de ciberseguridad en el conjunto de los EEMM. Para lograrlo, se prevé establecer normas mínimas para configurar un marco regulador y fijar mecanismos que permitan llevar a cabo una cooperación eficaz entre las autoridades competentes de los EEMM. Asimismo, cabe destacar la actualización de la lista de sectores y actividades sujetas a las obligaciones en materia de ciberseguridad, que prevén recursos y sanciones para garantizar su cumplimiento efectivo.

Además, se establecerá formalmente la Red Europea de Organización de Enlace para Crisis Cibernéticas, (EU-CyCLONe), que tendrá como objetivo principal apoyar la gestión de incidentes de ciberseguridad a gran escala de una manera coordinada.

Otro aspecto relevante consiste en la introducción de un nuevo criterio para determinar cuáles serán los operadores de servicios esenciales: el límite de tamaño (size-cap rule). Esto es, todas las entidades medianas y grandes que operen o presten servicios en los sectores cubiertos por la normativa se enmarcarán en su ámbito de aplicación. Dicha modificación es relevante dado que elimina el margen de apreciación concedido por la anterior directiva NIS a los EEMM para determinar los criterios normativos para considerar a los operadores de servicios esenciales.

Esta nueva regulación no se aplicará a aquellas entidades que realicen actividades en el marco de la defensa o la seguridad nacional, la seguridad pública, las fuerzas del orden y el poder judicial; esta exclusión también alcanzará a las actividades de los parlamentos y los bancos centrales. Cabe destacar que a las entidades centrales y regionales de la administración pública sí les será de aplicación la NIS2. En cambio, a nivel local, serán los EEMM los encargados de decidir sobre su aplicación.

La NIS2 se alinea con la legislación sectorial para dotar de certidumbre jurídica y coherencia al marco normativo, en concreto se tienen en cuenta tanto el Reglamento sobre la resistencia operativa digital para el sector financiero (DORA), que está previsto que sea aprobada próximamente, como la Directiva sobre la resistencia de las entidades críticas (CER).

A su vez, la NIS2 simplifica las obligaciones de notificación con el objetivo de evitar un exceso de notificaciones y de generar una sobrecarga para las entidades sujetas a la normativa.

En cuanto a los siguientes pasos en la tramitación legislativa de la NIS2, el acuerdo provisional alcanzado está sujeto a la aprobación del Consejo y del Parlamento Europeo. Está previsto que próximamente la Presidencia francesa del Consejo presente el acuerdo al Comité de Representantes Permanentes del Consejo para dicha aprobación.

  • Mònica Ferrer
  • Josu Andoni Eguiluz