Carlos B Fernández. Esta Directiva forma parte del paquete de medidas incluidas en la nueva Estrategia de Ciberseguridad de la UE, presentada por la Comisión en diciembre de 2020.
Esta nueva Estrategia propone integrar la ciberseguridad en todos los elementos de la cadena de suministro y concentrar las actividades y los recursos de la UE en torno a las cuatro comunidades de ciberseguridad: mercado interior, aplicación de la ley, diplomacia y defensa.
Está basada en la Configuración del futuro digital de Europa y en la Estrategia de la UE para una Unión de la Seguridad, así como en una serie de actos legislativos, acciones e iniciativas aplicadas por la UE con el fin de reforzar las capacidades de ciberseguridad y garantizar la ciberresiliencia de Europa. Asimismo, reconoce la creciente interconexión entre seguridad interior y exterior, en particular, por medio de la política exterior y de seguridad común.
Como elemento clave de la Configuración del futuro digital de Europa, el Plan de Recuperación para Europa y la Estrategia de la Unión de la Seguridad de la UE, esta Estrategia reforzará la resiliencia colectiva europea contra las ciberamenazas y ayudará a garantizar que todos los ciudadanos y las empresas puedan beneficiarse plenamente de unos servicios y herramientas digitales fiables y de confianza.
La nueva Estrategia de Ciberseguridad también permite a la UE reforzar su liderazgo en el ámbito de las normas internacionales del ciberespacio y potenciar su cooperación con socios de todo el mundo, con el fin de promover un ciberespacio global, abierto, estable y seguro, basado en el Estado de Derecho, los derechos humanos, las libertades fundamentales y los valores democráticos.
Esta estrategia se concreta en esta Directiva sobre las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en la Unión y una nueva Directiva sobre la resiliencia de entidades críticas. Ambas propuestas abarcan una amplia gama de sectores con el objetivo de hacer frente, de un modo coherente y complementario, a los riesgos actuales y futuros existentes dentro y fuera de Internet, ya sea en forma de ciberataques, delitos o desastres naturales.
Objeto de la nueva Directiva
La nueva Directiva establece medidas destinadas a lograr un elevado nivel común de ciberseguridad en la Unión, al tiempo que pretende mejorar el funcionamiento del mercado interior.
Para ello, la Directiva:
a) establece la obligación de los Estados miembros de adoptar estrategias nacionales de ciberseguridad, designar autoridades nacionales competentes, puntos de contacto únicos y equipos de respuesta a incidentes de seguridad informática (CSIRT);
b) establece las obligaciones de gestión de los riesgos de ciberseguridad y de presentación de informes para las entidades mencionadas en los anexos I y II
c) establece normas y obligaciones sobre el intercambio de información en materia de ciberseguridad;
d) establece obligaciones de supervisión y ejecución para los Estados miembros.
Ámbito de aplicación
La Directiva se aplicará a las entidades públicas y privadas esenciales e importantes (essential and important entities) mencionadas en los anexos I y II de la norma, que prestan sus servicios o realizan sus actividades en la Unión y que cumplen o superan el umbral de las medianas empresas en el sentido de la Recomendación 2003/361/CE de la Comisión.
Independientemente de su tamaño, la Directiva se aplica también a las entidades esenciales e importantes, cuando
a) los servicios sean prestados por:
(i) proveedores de redes públicas de comunicaciones electrónicas o de servicios de servicios de comunicaciones electrónicas disponibles al público a que se refiere el punto 8 del anexo I;
(ii) proveedores de servicios de confianza a los que se refiere el punto 8 del anexo I
(iii) los registros de nombres de dominio de primer nivel y los proveedores de servicios de sistemas de nombres de dominio (DNS) mencionados en el punto 8 del anexo I;
b) la entidad es el único proveedor en un Estado miembro de un servicio que es esencial para el mantenimiento de actividades sociales o económicas críticas
c) una interrupción del servicio prestado por la entidad podría tener un impacto significativo en la seguridad pública, la seguridad pública o la salud pública;
d) una interrupción del servicio prestado por la entidad podría inducir un riesgo sistémico significativo, en particular para los sectores en los que dicha interrupción podría tener un impacto transfronterizo
e) la entidad es crítica debido a su importancia específica a nivel regional o nacional para el sector o tipo de servicio concreto, o para otros sectores interdependientes en el Estado miembro;
f) la entidad está identificada como entidad crítica
Independientemente de su tamaño, la presente Directiva también se aplica a:
- • las entidades de la administración pública de las administraciones centrales reconocidas como tales en un Estado miembro de conformidad con el Derecho nacional y a las que se refiere el punto 9 del anexo I;
- • las entidades de la administración pública a nivel regional mencionadas en el punto 9 del anexo I, tal como las definen los Estados miembros definidas por los Estados miembros, de conformidad con la legislación nacional, que tras una evaluación que, tras una evaluación basada en el riesgo, presten servicios cuya interrupción pueda impacto significativo en actividades económicas o sociales críticas.
Los Estados miembros podrán establecer que la presente Directiva se aplique también a las entidades de la administración pública a nivel local y a los centros de enseñanza, en particular cuando realicen actividades de investigación críticas.
La Directiva se entiende sin perjuicio de las responsabilidades de los Estados miembros para salvaguardar la seguridad nacional o de su poder para salvaguardar otras funciones esenciales del Estado, incluidas la garantía de la integridad territorial del Estado y el mantenimiento del orden público.
Por el contrario, la Directiva no se aplica a las entidades de la administración pública que desarrollen sus actividades en los ámbitos de la defensa, la seguridad nacional, la seguridad pública o la aplicación de la ley, incluidas la investigación, la detección y el enjuiciamiento de delitos.
Entidades esenciales e importantes
La Directiva introduce el concepto de entidades esenciales e importantes, que incluye a todas las entidades del tipo enumerado en el Anexo I que superen los límites máximos de las medianas empresas, así como las siguientes entidades:
a) los proveedores de servicios de confianza cualificados y los registros de nombres de dominio de primer nivel, así como los proveedores de servicios de DNS independientemente de su tamaño;
b) proveedores de redes públicas de comunicaciones electrónicas o de servicios de servicios de comunicaciones electrónicas disponibles al público mencionados en el punto 8 del Anexo I que cumplan el límite máximo de las medianas empresas;
c) las entidades de la administración pública a las que se refiere el primer párrafo del apartado 2 bis del artículo 2
d) cualquier otra entidad de los tipos enumerados en el Anexo I y en el Anexo II establecida por un Estado miembro sobre la base de las evaluaciones nacionales de riesgo según los criterios establecidos en las letras c) a f) del apartado 2 del artículo 2;
e) las entidades identificadas como entidades críticas con arreglo a la Directiva (UE) X/X del Parlamento Europeo y del Consejo Parlamento Europeo y del Consejo [Directiva sobre la resistencia de las entidades críticas], mencionada en la letra g) del apartado 2 del artículo 2;
f) si han sido creadas por los Estados miembros, las entidades que los Estados miembros hayan identificado antes de la entrada en vigor de la presente Directiva como operadores de servicios esenciales de conformidad con la Directiva (UE) 2016/1148 (LA LEY 11863/2016) o la legislación nacional.
A efectos de la presente Directiva, todas las entidades del tipo de las enumeradas en los anexos I y II que no se califiquen como esenciales con arreglo al apartado 1 se considerarán entidades importantes.
Refuerzo de la gestión y la cooperación en materia de riesgos e incidentes
La Directiva NIS 2 sentará las bases para las medidas de gestión de riesgos de ciberseguridad y las obligaciones de notificación en todos los sectores que cubre, como la energía, el transporte, la sanidad y la infraestructura digital.
La Directiva revisada tiene por objeto armonizar los requisitos de ciberseguridad y de aplicación de las medidas de ciberseguridad entre los distintos Estados miembros. Para lograrlo, establece normas mínimas para un marco regulador y mecanismos para una cooperación eficaz entre las autoridades competentes de cada Estado miembro. Actualiza la lista de sectores y actividades sujetos a las obligaciones en materia de ciberseguridad y establece vías de recurso y sanciones para garantizar el cumplimiento de la legislación.
La Directiva creará oficialmente la red CyCLONe de organizaciones de enlace nacionales para la gestión de cibercrisis, que apoyará la gestión coordinada de los ciberincidentes y crisis a gran escala.
Ampliación del ámbito de aplicación de las normas
Mientras que, con arreglo a la antigua Directiva NIS, los Estados miembros eran responsables de determinar qué entidades cumplían los criterios para ser consideradas operadores de servicios esenciales, la nueva Directiva NIS 2 introduce el criterio del tamaño máximo como norma general para la determinación de las entidades reguladas. Esto significa que todas las entidades medianas y grandes que operen en los sectores o presten servicios cubiertos por la Directiva entran dentro de su ámbito de aplicación.
Aunque la Directiva establece el tamaño máximo como norma general, incluye disposiciones adicionales para garantizar la proporcionalidad, un nivel más elevado de gestión de riesgos y unos criterios de criticidad claramente definidos para permitir a las autoridades nacionales determinar otras entidades a las que debe aplicarse la Directiva.
El texto aclara también que la Directiva no se aplicará a las entidades que lleven a cabo actividades en ámbitos como la defensa o la seguridad nacional, la seguridad pública y el ámbito policial. También se excluyen de su ámbito de aplicación el poder judicial, los Parlamentos y los bancos centrales.
Sin embargo, la NIS 2 sí se aplicará a las administraciones centrales y regionales. Además, los Estados miembros podrán decidir que se aplique también a dichos órganos a escala local.
Otros cambios
La nueva Directiva se ha adaptado a la legislación sectorial, en particular al Reglamento sobre la Resiliencia Operativa Digital para el Sector Financiero (Reglamento DORA) y a a Directiva sobre la Resiliencia de las Entidades Críticas (Directiva REC), a fin de aportar claridad jurídica y garantizar la coherencia entre la SRI2 y estos otros actos.
Mediante un mecanismo voluntario de aprendizaje entre iguales se aumentará la confianza mutua y se reforzará el aprendizaje a partir del intercambio de buenas prácticas y experiencias en la Unión, contribuyendo así a lograr un elevado nivel común de ciberseguridad.
La nueva legislación racionaliza además las obligaciones de notificación con el fin de evitar que se produzca un exceso de información y se cree una carga excesiva para las entidades cubiertas.
Siguientes etapas
La Directiva se publicará en el Diario Oficial de la Unión Europea en los próximos días y entrará en vigor a los veinte días de su publicación.
Los Estados miembros dispondrán de 21 meses a partir de la entrada en vigor de la Directiva para incorporarla a su Derecho nacional.
PARA SABER MÁS: Recientemente Cristina Muñoz-Aycuens explicó los pormenores de la nueva política de ciberseguridad de la UE en este webminar.