NIS2: la transición europea hacia la resiliencia de la ciberseguridad.
El Parlamento Europeo ha dado luz verde a una nueva directiva europea de ciberseguridad que servirá como antesala al reglamento definitivo con aprobación prevista para 2023.
Bruselas ha dado un paso en firme hacia la consolidación de uno de los grandes pilares de la ciberseguridad en el Viejo Continente: NIS2. Una directiva de importante calado para el porvenir europeo cuya aprobación definitiva está prevista para el próximo 2023. El Parlamento Europeo ha dado así un lavado de cara a la ya conocida directiva Network and Information Security (NIS1) mediante una reformulación que aspira a convertirse en la antesala de la gran estrategia de ciberseguridad común de Europa. Un marco normativo “clave para que muchos sectores críticos adopten con éxito la transformación digital y aprovechen plenamente los beneficios económicos, sociales y sostenibles de la digitalización” con garantías proteccionistas.
Y es que NIS2 sienta las bases para “las medidas de gestión de riesgos de ciberseguridad y las obligaciones de información en todos los sectores que entran en su ámbito de aplicación”. Todo ello con un objetivo definido: “fomentar las capacidades de ciberseguridad en toda la Unión, mitigar las amenazas a las redes y sistemas de información utilizados para prestar servicios esenciales en sectores clave y garantizar la continuidad de dichos servicios ante incidentes, contribuyendo así a la seguridad de la Eurozona y al funcionamiento eficaz de su economía y sociedad”.
Novedades a la vista
La nueva norma, acordada el pasado mes de mayo con los Estados miembro, fue adoptada formalmente por la Eurocámara por 577 votos a favor, 6 en contra y 31 abstenciones; es decir, con una holgada mayoría. Sin embargo, para su completa entrada en vigor es necesario que el Consejo Europeo, ente que aglutina a los gobiernos de los países de la Unión, atraviese otro proceso de votación. El mismo podría dar alas a la imposición de obligaciones más estrictas de ciberseguridad para las empresas y administraciones, especialmente en materia de prevención de riesgos. Además, fija normas comunes de defensa digital y amplía a la energía, el transporte, la banca y la salud la lista de «sectores esenciales» a proteger. De igual forma, recoge diversas obligaciones a la hora de notificar ataques y compartir información con el resto de Estados.
En este sentido, NIS2 contempla detalles muy concretos sobre cómo deben las corporaciones y administraciones responder ante incidentes, la gestión de crisis, la prevención de vulnerabilidades, las pruebas ‘cyber’ o la necesidad de usar cifrado de calidad. La legislación será de aplicación tanto para la administración como para las medianas y grandes empresas de ciertos sectores catalogados como «importantes» en el redactado de la norma. Estos ámbitos comprenden, por ejemplo, los servicios postales, la gestión de residuos, las industrias química, farmacéutica y alimentaria, así como la fabricación de maquinaria pesada, vehículos y aparatos digitales.
En este escenario y tras la presentación de la directiva, la comisionaria europea Margarethe Vestager ha instado a los Veintisiete a “avanzar” en la implementación de todas las medidas posibles porque “los que nos atacan no van a esperar a la transposición” de la NIS2. Y es que “habrá defensa europea sin ciberseguridad”, ha concluido.