El pasado 10 de noviembre de 2022, el Parlamento Europeo aprobó formalmente la actualización de la Directiva sobre Ciberseguridad (conocida como “NIS 2.0”, por las siglas de Network and Information Security) que afecta especialmente a los proveedores de infraestructuras críticas, entre otros. En este artículo analizaremos los orígenes de toda esta labor legislativa europea, así como los hitos fundamentales alcanzados con esta reciente aprobación.
La Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (conocida como “Directiva NIS”), se promulgaba en julio de 2016 con el propósito de establecer medidas que garantizaran un elevado nivel común de seguridad en las redes y en los sistemas de información en la Unión Europea, y así asegurar un mejor funcionamiento del mercado interior comunitario.
Ejemplo de ello es la adopción de una estrategia nacional, la creación de un Grupo de cooperación orientado a facilitar y hacer viable la tarea común de cada uno de los Estados miembros, así como la creación de una red de equipos eficaz que permitiese actuar contra incidentes de seguridad (la denominada “Red CSIRT”, siglas de Computer Security Incident Response Teams).
Todo ello de cara a agilizar y acelerar la cooperación, y aumentar la seguridad, así como la percepción que los Estados miembros y la ciudadanía tenían respecto a dicho nivel de seguridad. Dicho en otras palabras, la finalidad de esta Directiva era reducir el impacto en la sociedad ante un incidente contra la seguridad de las redes y sistemas de información en un actor económico fundamental para el país, a la vez que proporcionar una resolución temprana frente a tal incidente.
La Directiva NIS establecía la obligación de fijar unos requisitos respecto a la seguridad y notificación de incidentes en los operadores de servicios esenciales (OSE) y proveedores de servicios digitales (PSD), y el mandato de designar a autoridades nacionales competentes en esta materia. Este texto europeo daba amplio margen de acción a los Estados miembros y, en el caso de España, fue transpuesta por el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.
¿Su objetivo? Regular y proporcionar un refuerzo a la seguridad de los sistemas y redes de información, estableciendo un sistema común y coordinado de notificación de incidentes, así como asentando un marco institucional para coordinar a autoridades judiciales y resto de órganos garantes del cumplimiento de la Ley, a su vez, en cooperación con sus homólogos europeos. Años más tarde, este Real Decreto-ley fue actualizado por el Real Decreto 43/2021, el 26 de enero de 2021.
Teniendo en cuenta estos antecedentes, la Comisión y el Alto Representante de la Unión para Asuntos Exteriores y Política de Seguridad presentaron en Bruselas, el 16 de diciembre de 2020, la nueva Estrategia de Ciberseguridad de la UE. En ella se pretendía reforzar la resiliencia colectiva europea contra las ciber amenazas, así como ayudar a todos los ciudadanos y empresas para que pudieran beneficiarse de unos servicios y herramientas digitales de confianza.
Con esta nueva Estrategia de Ciberseguridad, además, se permitía a la UE el refuerzo de su liderazgo en el campo de las normas internacionales del ciberespacio y su potenciación para cooperar con otros socios a nivel mundial. Con ello, se promueve un ciberespacio estable, seguro, abierto y global, que respeta los valores democráticos, los derechos humanos y libertades fundamentales.
Sobre la base de estos logros alcanzados durante los últimos años, y bajo esta línea de acción, la Comisión propuso reformar las normas sobre seguridad de las redes y sistemas de información. Un reto que se materializó a través de una Directiva renovada (NIS 20) que aumentase el nivel de ciber resiliencia en los sectores críticos, tanto públicos como privados. Como puede ser en hospitales, redes energéticas, ferroviarias, centros de datos, administraciones públicas, laboratorios para la investigación y producción de medicamentos críticos, además de otras infraestructuras críticas, que deben permanecer intactas frente a un panorama cambiante y con ciber amenazas cada vez más complejas.
Debido al aumento en la interconexión y digitalización, los riesgos de ciberseguridad se encuentran en evolución constante y las amenazas en el ciberespacio son cada vez más sofisticadas. Para hacer frente a ello, la Directiva NIS 2.0 trae consigo las siguientes novedades principales:
Gracias a esta reciente aprobación por parte del Parlamento Europeo, se consigue aterrizar toda esta estrategia de acción y esfuerzos acometidos en un texto europeo que simboliza y asegura la cooperación y coordinación en el seno de la Unión Europea contra las ciber amenazas cada vez más frecuentes.
Con relación al impacto que esta actualización legislativa tendrá sobre las empresas, el mismo dependerá de cómo operen dichas empresas en el mercado, así como de la posibilidad de que estén o no incluidas dentro de la cadena de suministro de algún servicio esencial. Las organizaciones, a nivel interno, deben considerar desde este mismo momento la creación de departamentos o procesos internos orientados a dar cumplimiento a los requisitos recogidos en la Directiva NIS 2.0.
Entre otros aspectos ya comentados, la Directiva NIS 2.0 exige a las organizaciones la revisión de proveedores, lo cual implica una reformulación de sus modelos de cumplimiento. Como consecuencia de todo lo anterior, las empresas deben continuar reclutando perfiles con conocimientos digitales adecuados.
Una vez que la nueva Directiva sea aprobada por el Consejo, el texto entrará en vigor a los veinte días después de su publicación en el Diario Oficial de la Unión Europea (DOUE). Los estados miembro contarán, a partir de entonces, con veintiún meses para transponer el nuevo texto europeo a sus propios ordenamientos jurídicos.
Deja un comentario