Con el objetivo de mejorar aún más la resiliencia y las capacidades de respuesta ante incidentes tanto del sector público como del privado y de la UE en su conjunto, el Consejo y el Parlamento Europeo han alcanzado un acuerdo político para la Directiva sobre medidas para un alto nivel común de ciberseguridad en toda la Unión (Directiva NIS 2). Una vez adoptada, reemplazará a la actual directiva sobre seguridad de redes y sistemas de información (la directiva NIS).
La Directiva NIS2 cubre entidades medianas y grandes de más sectores que son críticos para la economía y la sociedad, como la energía, el transporte, la salud y la infraestructura digital. La directiva revisada tiene como objetivo eliminar las divergencias en los requisitos de ciberseguridad y en la implementación de medidas de ciberseguridad en diferentes Estados miembros.
Para lograrlo, establece reglas mínimas para un marco regulatorio y mecanismos para una cooperación efectiva entre las autoridades relevantes en cada Estado miembro. También actualiza la lista de sectores y actividades sujetos a obligaciones de seguridad cibernética, e incluye remedios y sanciones para garantizar el cumplimiento.
Asimismo, la directiva establecerá formalmente la Red Europea de Organización de Enlace de Crisis Cibernéticas (EU-CYCLONe), que apoyará la gestión coordinada de incidentes de ciberseguridad a gran escala.
Regla de límite de tamaño
Mientras que bajo la antigua directiva NIS, los Estados miembros eran responsables de determinar qué entidades cumplirían los criterios para calificar como operadores de servicios esenciales, la nueva directiva NIS2 introduce una regla de límite de tamaño. Esto significa que todas las entidades medianas y grandes que operen dentro de los sectores o presten servicios cubiertos por la directiva entrarán dentro de su ámbito de aplicación.
El texto acordado provisionalmente también incluye disposiciones adicionales para garantizar la proporcionalidad, un mayor nivel de gestión de riesgos y criterios claros de criticidad para determinar las entidades cubiertas.
Por otro lado, el texto aclara que la directiva no se aplicará a las entidades que realicen actividades en áreas como la defensa o la seguridad nacional, la seguridad pública, las fuerzas del orden y el poder judicial. Los parlamentos y los bancos centrales también están excluidos del ámbito de aplicación.
Dado que las Administraciones Públicas también suelen ser objeto de ciberataques, NIS2 se aplicará a las entidades de la administración a nivel central y regional. Los Estados miembros pueden decidir que se aplique también a tales entidades a nivel local.
Claridad jurídica y buenas prácticas
El Parlamento Europeo y el Consejo han alineado el texto con la legislación específica del sector, en particular, el Reglamento sobre la resiliencia operativa digital para el sector financiero (DORA) y la Directiva sobre la resiliencia de las entidades críticas (CER), para aportar claridad jurídica y garantizar coherencia entre NIS2 y estos actos.
Un mecanismo voluntario de aprendizaje entre pares aumentará la confianza mutua y el aprendizaje de buenas prácticas y experiencias, contribuyendo así a lograr un alto nivel común de ciberseguridad. Asimismo, se han simplificado las obligaciones de información para evitar que se produzca un exceso de información y se cree una carga excesiva para las entidades cubiertas.
El acuerdo político alcanzado por el Parlamento Europeo y el Consejo está ahora sujeto a la aprobación formal de los dos colegisladores. Una vez publicada en el Diario Oficial, la Directiva entrará en vigor 20 días después de su publicación y los Estados miembros deberán transponer en un plazo de 21 meses los nuevos elementos de la Directiva a la legislación nacional.