Aprobada finalmente la Directiva NIS2

  • Actualidad

GDPR normativa

El Consejo de la Unión Europea ha aprobado la NIS2, que sustituirá a la actual directiva sobre seguridad y sistemas de información. Entrará en vigor a los 21 días desde su publicación en el Diario Oficial de la UE, y los Estados miembros tendrán 21 meses para incorporar el texto a su legislación nacional.

El Consejo Europeo ha dado vía libre a la Directiva NIS2, la nueva normativa sobre seguridad y sistemas de información con la que la UE pretende mejorar la resiliencia y las capacidades de respuesta a incidentes dentro del territorio a través de un alto nivel común de ciberseguridad.

Además, actualiza la lista de sectores y actividades sujetos a obligaciones en materia de ciberseguridad y prevé remedios y sanciones para garantizar su cumplimiento. La nueva norma afecta a entidades consideradas como infraestructuras críticas (energía, transporte, sanidad, infraestructura digital, sector espacial, sector público, etc.) y a entidades importantes (servicios postales y de mensajería, gestión de residuos, fabricación, alimentación, fabricación de dispositivos médicos, proveedores digitales, etc.

Mejor gestión de riesgos y más cooperación
NIS2 fijará obligaciones más estrictas en el área de gestión de riesgos de ciberseguridad en áreas ámbitos la energía, el transporte, la salud y la infraestructura digital, con el objetivo de armonizar los requisitos de ciberseguridad y la implementación de medidas de ciberseguridad en diferentes Estados miembros. Para conseguirlos, establece reglas mínimas para un marco regulatorio y establece mecanismos para una cooperación efectiva entre las autoridades relevantes en cada uno de los países miembros. 

La directiva establecerá formalmente la Red Europea de Organización de Enlace de Crisis Cibernéticas, EU-CYCLONe , que apoyará la gestión coordinada de incidentes y crisis de ciberseguridad a gran escala .

Mientras que bajo la anterior directiva NIS, los Estados miembros eran responsables de determinar qué entidades cumplirían los criterios para calificar como operadores de servicios esenciales. Ahora, con la NIS2, todas las medianas y grandes empresas que operen dentro de los sectores o presten servicios cubiertos por la directiva entrarán dentro de su ámbito de aplicación.

Aunque la directiva revisada mantiene esta regla general, su texto incluye disposiciones adicionales para garantizar la proporcionalidad , un mayor nivel de gestión de riesgos y criterios claros de criticidad para permitir que las autoridades nacionales determinen otras entidades cubiertas.

El texto también aclara que la directiva no se aplicará a las entidades que realicen actividades en áreas como la defensa o la seguridad nacional, la seguridad pública y la aplicación de la ley. Por tanto, el poder judicial, los parlamentos y los bancos centrales también están excluidos del alcance.

NIS2 también se aplicará a las administraciones públicas a nivel central y regional, pero cada país puede decidir si se aplica a las entidades locales.