El Parlamento Europeo y los estados miembros de la UE llegaron a un acuerdo en la madrugada del viernes (13 de mayo) sobre nuevas reglas destinadas a proteger a las entidades críticas públicas y privadas de Europa de los ataques cibernéticos.
La legislación actualizada, también conocida como NIS2, tiene como objetivo aumentar la cooperación y la resiliencia de la ciberseguridad entre los estados miembros mediante el establecimiento de nuevas medidas y obligaciones de información para los operadores de servicios esenciales como la banca y la energía.
“Estamos protegiendo nuestras economías y nuestras sociedades contra las amenazas cibernéticas. Mejorando la preparación, la resiliencia, protegiendo nuestra democracia”, dijo la vicepresidenta de la comisión de la UE, Margaritas Schinas, después de que se alcanzó el acuerdo.
Según las reglas anteriores, los países de la UE podían elegir qué entidades entraban en la categoría de servicios “críticos” o “esenciales”.
Pero la actualización de la Directiva de seguridad de la información y las redes (NIS2) introduce reglas comunes para los organismos medianos y grandes que operan en sectores críticos, como la energía, el transporte, la salud y la infraestructura digital.
Estos incluyen proveedores de servicios de telecomunicaciones y suministro de energía, administradores de infraestructuras ferroviarias, servicios financieros, operadores de gestión de aguas y residuos, servicios postales y de mensajería, fabricantes de dispositivos médicos y administraciones públicas.
Pero quedan excluidos del ámbito de aplicación los parlamentos, el poder judicial y los bancos centrales, así como las entidades en las áreas de seguridad pública, defensa y aplicación de la ley.
“Esto… va a ayudar a más de 100.000 entidades vitales a reforzar su control sobre la seguridad y hacer de Europa un lugar seguro para vivir y trabajar”, dijo el principal eurodiputado liberal holandés Bart Groothuis.
Las empresas y los operadores públicos tendrán que analizar los riesgos de ciberseguridad y poner en marcha medidas para prevenir posibles ciberataques, como la higiene informática básica, el cifrado o la autenticación multifactor.
También deberán informar sobre posibles ataques cibernéticos y remedios que hayan tomado en respuesta a tales incidentes, y enfrentarán sanciones si se descubre que infringen las reglas.
La agencia de la UE para la ciberseguridad (ENISA) lleva realizando ejercicios de prueba desde el año pasado para preparar una respuesta europea rápida ante ciberataques transfronterizos.
Pero NIS2 establecerá la Red Europea de Organización de Enlace de Crisis Cibernéticas (EU-CYCLONe) para apoyar y coordinar la gestión de crisis de ataques cibernéticos a gran escala en el bloque de 27 naciones.
La legislación actualizada también introduce un “mecanismo de aprendizaje entre pares” voluntario llevado a cabo por expertos designados en un intento por aumentar la confianza mutua e intercambiar buenas prácticas e información entre los estados miembros de la UE.
No obstante, todos los países de la UE deberán realizar una autoevaluación de las capacidades técnicas y los recursos financieros antes de la revisión por pares, tal como lo solicitaron los eurodiputados durante las negociaciones.
Una vez adoptado formalmente, los estados miembros tendrán casi dos años para transponerlo a la legislación nacional.