Bruselas, 13 may (EFE).- El Consejo y el Parlamento Europeo, colegisladores en la Unión Europea, anunciaron que han logrado un acuerdo para reforzar la normativa comunitaria sobre cibersecuridad, de forma que mejore “la resiliencia y las capacidades de respuesta a incidentes” en la UE tanto en el sector público como privado.
La revisión de la Directiva Redes y Sistemas de Información (NIS), conocida como NIS2, facilitará “una mayor cooperación y gestión de riesgos e incidentes” ya que establecerá las medidas de gestión y las obligaciones de notificación de posibles problemas en sectores como la energía, el transporte, la salud y la infraestructura digital.
“¡Acuerdo en NIS2 esta noche! Garantiza un alto nivel común de ciberseguridad en toda la UE. Estamos protegiendo nuestras economías y nuestras sociedades contra las ciberamenazas. Mejorar la preparación, la resiliencia, proteger nuestra democracia”, publicó en Twitter el vicepresidente de la Comisión encargado del área de Seguridad e Interior, Margaritas Schinas.
El acuerdo, que aún deben aprobar los embajadores de los Veintisiete y el pleno de la Eurocámara, establece un marco regulatorio para eliminar las “divergencias en los requisitos de seguridad y en la implementación de medidas (…) en diferentes Estados miembros”, informó el Consejo en un comunicado.
La legislación establecerá también sanciones para garantizar el cumplimiento de la normativa y creará formalmente la Red Europea de Organización de Enlace de Crisis Cibernéticas (EU-CYCLONe), con la misión de apuar “la gestión coordinada de incidentes de ciberseguridad a gran escala”, agregó el Consejo.
Con la legislación antigua, eran los países de la UE los que determinaban qué entidades entraban en la categoría de servicios esenciales y por tanto estaban sujetas a ciertas obligaciones.
La revisión de la Directiva introduce una regla común que abarca a “todas las entidades medianas y grandes que operen o presten servicios dentro de los sectores cubiertos por la directiva”, aunque con “disposiciones adicionales para garantizar la proporcionalidad, un mayor nivel de gestión de riesgos y criterios claros para determinar las entidades cubiertas”.
La normativa no se aplicará a las entidades dedicadas a la defensa, la seguridad nacional, la seguridad pública o las fuerzas del orden, así como los Parlamentos y los bancos centrales.
Sí cubrirá, en cambio, a las administraciones públicas de los gobiernos centrales, ya que “suelen ser objeto de ciberataques”, precisó el Consejo.
Entre las modificaciones introducidas durante la negociación final entre Parlamento y Consejo respecto a la propuesta original de la Comisión Europea destaca la alineación de las medidas con reglas de otras áreas de actividad, como los servicios financiero o las entidades críticas para “aportar claridad jurídica y garantizar coherencia” entre los diferentes paquetes normativos.
Además, se incluye un mecanismo voluntario de aprendizaje e intercambio de experiencias para fomentar la “confianza mutua” y se simplifican los requisitos de notificación para evitar que se produzca un “exceso de información y se cree una carga excesiva para las entidades cubiertas”.
