ORTEGO LEGAL

NIS2: La UE decide reforzar la ciberseguridad y la resiliencia en toda la Unión

El Consejo ha adoptado legislación para un alto nivel común de ciberseguridad en toda la Unión, para mejorar aún más la resiliencia y las capacidades de respuesta a incidentes tanto del sector público como del privado y de la UE en su conjunto.

La NIS2 establecerá la línea de base para las medidas de gestión de riesgos de ciberseguridad y las obligaciones de información en todos los sectores cubiertos por la directiva, como la energía, el transporte, la salud y la infraestructura digital.

La directiva tiene como objetivo armonizar los requisitos de ciberseguridad y la implementación de medidas de ciberseguridad en diferentes estados miembros. Para lograrlo, establece reglas mínimas para un marco regulatorio y establece mecanismos para una cooperación efectiva entre las autoridades relevantes en cada estado miembro. Actualiza la lista de sectores y actividades sujetos a obligaciones en materia de ciberseguridad y prevé remedios y sanciones para garantizar su cumplimiento.

La directiva establecerá formalmente la Red Europea de Organización de Enlace de Crisis Cibernéticas, EU-CYCLONe, que apoyará la gestión coordinada de incidentes y crisis de ciberseguridad a gran escala.

Ampliación del ámbito de aplicación de las normas

Mientras que bajo la antigua directiva NIS, los estados miembros eran responsables de determinar qué entidades cumplirían los criterios para calificar como operadores de servicios esenciales, la nueva directiva NIS2 introduce una regla de límite de tamaño como regla general para la identificación de entidades reguladas. Esto significa que todas las entidades medianas y grandes que operen dentro de los sectores o presten servicios cubiertos por la directiva entrarán dentro de su ámbito de aplicación.

Si bien la directiva revisada mantiene esta regla general, su texto incluye disposiciones adicionales para garantizar la proporcionalidad, un mayor nivel de gestión de riesgos y criterios claros de criticidad para permitir que las autoridades nacionales determinen otras entidades cubiertas.

El texto también aclara que la directiva no se aplicará a las entidades que realicen actividades en áreas como la defensa o la seguridad nacional, la seguridad pública y la aplicación de la ley. El poder judicial, los parlamentos y los bancos centrales también están excluidos del alcance.

La NIS2 también se aplicará a las administraciones públicas a nivel central y regional. Además, los estados miembros pueden decidir que se aplique también a tales entidades a nivel local.

Además, la nueva directiva se ha alineado con la legislación específica del sector, en particular, el reglamento sobre resiliencia operativa digital para el sector financiero (DORA) y la directiva sobre resiliencia de entidades críticas (CER), para proporcionar claridad jurídica y garantizar la coherencia entre NIS2 y estos actos.

Un mecanismo voluntario de aprendizaje entre pares aumentará la confianza mutua y el aprendizaje de buenas prácticas y experiencias en la Unión, contribuyendo así a lograr un alto nivel común de ciberseguridad.

La nueva legislación también agiliza las obligaciones de información para evitar que se produzca un exceso de información y se cree una carga excesiva para las entidades cubiertas.

La directiva se publicará en el Diario Oficial de la Unión Europea en los próximos días y entrará en vigor a los veinte días de esta publicación.

Los estados miembros tendrán 21 meses a partir de la entrada en vigor de la directiva para incorporar las disposiciones a su legislación nacional.

Imagen: Ceedia

Deja un comentario