La Directiva SRI 2, más cerca de su aprobación
- Actualidad
La nueva Directiva de la Unión Europea sobre seguridad de las redes y sistemas de información (SRI), también conocida como NIS, en sus siglas inglesas, está más cerca de aprobarse, tras el acuerdo político alcanzado entre el Parlamento Europeo y los Estados miembros.
El Consejo y el Parlamento Europeo han llegado a un acuerdo sobre medidas para garantizar un elevado nivel común de ciberseguridad en toda la UE, a fin de seguir mejorando la resiliencia y las capacidades de respuesta ante incidentes tanto del sector público como empresas privadas de sectores críticos. Una vez adoptada, sustituirá a la Directiva actual sobre la seguridad de las redes y sistemas de información, en vigor desde 2016, y que ha sido la primera ley en materia de ciberseguridad aplicable en toda la UE.
Ahora necesita una actualización por “el creciente grado de digitalización e interconexión de nuestra sociedad y el auge en todo el mundo de las actividades cibernéticas malintencionadas”, según explican las autoridades comunitarias.
La nueva norma incluirá a las medianas y grandes entidades de un número mayor de sectores fundamentales para la economía y la sociedad: los proveedores de servicios públicos de comunicaciones electrónicas, los servicios digitales, la gestión de residuos y aguas residuales, la fabricación de productos esenciales, los servicios postales y de mensajería y las administraciones públicas tanto centrales como autonómicas y regionales. Además, se contempla de manera más general el sector sanitario, al incluirse, por ejemplo, a los fabricantes de productos del sector. Para la Comisión, que está satisfecha con el acuerdo al que han llegado Parlamento y Consejo, “ampliar el ámbito de aplicación de las nuevas normas, obligando de hecho a más entidades y sectores a tomar medidas de gestión del riesgo para la ciberseguridad, contribuirá a aumentar el nivel de ciberseguridad a medio y largo plazo en Europa”.
Por otra parte, la Directiva SRI 2 reforzará los requisitos sobre ciberseguridad impuestos a las empresas, contempla la seguridad de las cadenas de suministro y las relaciones con los proveedores e introducirá la rendición de cuentas de los directivos en caso de incumplimiento de las obligaciones en materia de ciberseguridad. Asimismo, simplifica las obligaciones de notificación, estipula medidas de supervisión más estrictas para las autoridades nacionales, junto con requisitos de ejecución más rigurosos, y pretende armonizar los regímenes de sanciones de los Estados miembros. En este sentido,
Según la nueva directiva, las organizaciones críticas tendrán que establecer y auditar planes de gestión y respuesta de ciberseguridad, parchear las vulnerabilidades de software, informar sobre los incidentes a las autoridades en un plazo de 24 horas y un informe completo en tres días, y utilizar tecnologías de ciberseguridad de última generación para evitar ataques. En caso contrario, tendrán que hacer multas que pueden alcanzar el 2% de su facturación.
La nueva normativa contribuirá a aumentar el intercambio de información y la cooperación en el ámbito de la gestión tanto nacional como europea de las cibercrisis. En este sentido, se creará oficialmente la red CyCLONe de organizaciones de enlace nacionales para la gestión de crisis de ciberseguridad, que apoyará la gestión coordinada de los ciberincidentes a gran escala.
Siguientes pasos
La SRI 2 fue propuesta por la Comisión en diciembre de 2020. El acuerdo político queda ahora supeditado a la aprobación formal de los dos colegisladores. Una vez publicada en el Diario Oficial, la Directiva entrará en vigor 20 días después, tras lo cual cada país deberá incorporarla a su legislación nacional en el plazo de 21 meses.
