El Consejo Europeo y el Parlamento han alcanzado un acuerdo político sobre la Directiva sobre medidas para un alto nivel común de ciberseguridad en toda la Unión Europea (Directiva NIS 2), propuesta por la Comisión en diciembre de 2020. Una vez adoptada, reemplazará a la actual directiva sobre seguridad de redes y sistemas de información (Directiva NIS).
La Directiva NIS 2 tiene por objeto mejorar la resiliencia y las capacidades de respuesta ante incidentes del sector público, del privado y de la UE en su conjunto. Así, cubre entidades medianas y grandes de más sectores que son críticos para la economía y la sociedad, incluidos los proveedores de servicios públicos de comunicaciones electrónicas, servicios digitales, aguas residuales, gestión de residuos, administración pública o salud, a nivel central y autonómico.
Asimismo, fortalece los requisitos de ciberseguridad impuestos a las empresas, aborda la seguridad de las cadenas de suministro y las relaciones con los proveedores e introduce la responsabilidad de la alta dirección por el incumplimiento de las obligaciones de ciberseguridad. También agiliza las obligaciones de notificación, incluye medidas de supervisión más estrictas para autoridades nacionales y requisitos más rigurosos, así como actualiza la lista de sectores y actividades sujetos a obligaciones de seguridad cibernética e incluye remedios y sanciones para garantizar el cumplimiento.
Además, la directiva revisada pretende armonizar los regímenes de sanciones en todos los Estados miembros, y eliminar las divergencias en los requisitos de ciberseguridad y en la implementación de medidas, lo que ayudará a aumentar el intercambio de información y la cooperación en la gestión de cibercrisis. En este sentido, se establecerá formalmente la Red Europea de Organización de Enlace de Crisis Cibernéticas (EU-CYCLONe), que apoyará la gestión coordinada de incidentes de ciberseguridad a gran escala.
Aplicación de la Directiva NIS 2
Con la antigua Directiva NIS, los Estados miembros eran responsables de determinar qué entidades cumplirían los criterios para ser operadores de servicios esenciales. Por su parte, la nueva Directiva NIS 2 introduce una regla de límite de tamaño, es decir, todas las entidades medianas y grandes que operen dentro de los sectores o presten servicios cubiertos por la directiva entrarán dentro de su ámbito de aplicación.
El texto acordado provisionalmente entre el Parlamento Europeo y el Consejo también incluye disposiciones adicionales para garantizar la proporcionalidad, un mayor nivel de gestión de riesgos y criterios claros de criticidad para determinar las entidades cubiertas.
De la misma manera, aclara que la directiva no se aplicará a los bancos centrales ni a las entidades que realicen actividades en áreas como la defensa o la seguridad nacional, la seguridad pública, las fuerzas del orden, el poder judicial. Dado que las administraciones públicas también suelen ser objeto de ciberataques, NIS 2 se aplicará a las entidades de la administración a nivel central y regional. Los Estados miembros pueden decidir si se aplica a las entidades a nivel local.
Entrada en vigor
La Directiva NIS 2 se alinea con la legislación específica del sector, en particular, el Reglamento sobre la resiliencia operativa digital para el sector financiero (DORA) y la Directiva sobre la resiliencia de las entidades críticas (CER), para aportar claridad jurídica y garantizar coherencia entre NIS 2 y estos actos.
Un mecanismo voluntario de aprendizaje entre pares aumentará la confianza mutua y el aprendizaje de buenas prácticas y experiencias, contribuyendo así a lograr un alto nivel común de ciberseguridad. Asimismo, se han simplificado las obligaciones informativas para evitar que se produzca un exceso de información y se cree una carga excesiva para las entidades cubiertas.
El acuerdo político alcanzado por el Parlamento Europeo y el Consejo está ahora sujeto a la aprobación formal de los dos colegisladores. Una vez publicada en el Diario Oficial, la Directiva NIS 2 entrará en vigor 20 días después de su publicación y los Estados miembros deberán transponer en un plazo de 21 meses los nuevos elementos de la directiva a la legislación nacional.