El Parlamento Europeo alcanza un acuerdo provisional para mejorar la ciberseguridad y la resiliencia de las entidades del sector público y privado en la Unión Europea. La nueva Directiva Redes y Sistemas de Información, Riesgos e Incidentes, NIS2, implementará normas de seguridad más estrictas ante la creciente escalada de ciberataques.
La evolución de las amenazas de ciberseguridad requería una revisión y el refuerzo de la de la Directiva Redes y Sistemas de Información (NIS) de julio de 2016. Finalmente, el Consejo y el Parlamento Europeo han alcanzado un acuerdo para reforzar esta normativa comunitaria para mejorar las capacidades de respuesta a incidentes en la Unión Europea.
Con el nombre de NIS2, la nueva directiva busca reforzar la cooperación y gestión de riesgos e incidentes estableciendo nuevas medidas de gestión. Entre ellas, las empresas deberán evaluar sus riesgos de ciberseguridad, establecer planes de respuesta y notificar si sufren ciberataques.
Esto conllevará que empresas deberán actualizar su software de seguridad, parchear vulnerabilidades e implementar medidas de gestión de riesgos. La obligatoriedad de notificar si se está siendo víctima de un ciberataque deberá realizarse a lo largo de las 24 horas siguientes a su conocimiento y presentar un informe completo antes de 72 horas.
Con ello, NIS2 busca garantizar una mayor protección si bien, en el caso de no cumplirse, puede conllevar sanciones económicas que pueden elevarse hasta el 2% de la facturación global de la firma.
Tal y como apunta el comunicado emitido por el Consejo de la UE, «la directiva establecerá formalmente la Red Europea de Organización de Enlace de Crisis Cibernéticas, EU-CYCLONe, que apoyará la gestión coordinada de incidentes de ciberseguridad a gran escala».
Los sectores energético, de salud, transporte, banca, gestión de aguas e infraestructuras digitales, son los que la UE considera esenciales, junto a la administración pública, para garantizar esta seguridad.
Margaritis Schinás, vicepresidente de la CE y encargado del área de Seguridad e Interior, anunciaba en Twitter el acuerdo alcanzado y mostraba su satisfacción por el avance de la ciberseguridad en toda la Unión Europea.
Las novedades de NIS2
NIS2 introduce una regla común para todas las entidades que operen o presten servicios dentro de los sectores a los que afecta a diferencia de la legislación antigua. Hasta ahora, los países de la UE eran los que decidían cuáles eran las entidades que englobaba la categoría de servicios esenciales sujetas a ciertas obligaciones.
Con los cambios introducidos, la normativa no se aplicará a las entidades dedicadas a la defensa, la seguridad nacional y pública, a las fuerzas del orden, así como a los Parlamentos y los bancos centrales.
Algunas de las modificaciones incluyen la alineación de las medidas con reglas de otras áreas, como los servicios financieros. Asimismo, también se impulsará el intercambio de experiencias para fomentar la ‘confianza mutua’, simplificando los requisitos de notificación.
Este desarrollo también sigue de cerca los planes de la Comisión Europea para ‘detectar, informar, bloquear y eliminar’ imágenes y videos de abuso sexual infantil de los proveedores de servicios online, incluidas las aplicaciones de mensajería, lo que genera preocupaciones de que puede socavar las protecciones de cifrado de extremo a extremo (E2EE).
Respuesta unificada de ciberseguridad
La versión preliminar de NIS2 establece explícitamente que el uso de E2EE «debe conciliarse con los poderes de los Estados miembros para garantizar la protección de sus intereses de seguridad esenciales y la seguridad pública, y permitir la investigación, detección y enjuiciamiento de delitos penales de conformidad con el derecho de la Unión».
También destaca que «las soluciones para el acceso legal a la información en las comunicaciones encriptadas de extremo a extremo deben mantener la efectividad del encriptado para proteger la privacidad y la seguridad de las comunicaciones, al tiempo que brindan una respuesta efectiva al crimen».
Como parte del acuerdo, los estados miembros de la Unión Europea tienen el mandato de incorporar las disposiciones en su legislación nacional en un plazo de 21 meses a partir de la entrada en vigor de la directiva.
No obstante, por el momento, se trata de un acuerdo preliminar que deben aprobar los embajadores de los 27 Estados Miembro y el pleno de la Eurocámara.
