A pesar de sus notables logros, la Directiva sobre la seguridad de las redes y los sistemas de información (Directiva SRI), que allanó el camino para un cambio significativo en el enfoque de mentalidad, institucional y reglamentario de la ciberseguridad en muchos Estados miembros, también ha demostrado sus limitaciones. La transformación digital de la sociedad (intensificada por la crisis de la COVID-19) ha ampliado el panorama de amenazas y está generando nuevos retos, que requieren respuestas adaptadas e innovadoras.
Ahora bien, cualquier perturbación, aunque inicialmente se limite a una entidad o a un sector, puede tener efectos en cascada de manera más amplia, lo que podría dar lugar a impactos negativos de largo alcance y duraderos en la prestación de servicios en todo el mercado interior.
Para hacer frente a estos retos, tal como se anunció en la Comunicación sobre la configuración del futuro digital de Europa, la Comisión aceleró la revisión de la Directiva hasta finales de 2020, llevó a cabo una evaluación de impacto y presentó una nueva propuesta legislativa.
Elementos clave de la propuesta de la Comisión
La nueva propuesta de la Comisión tiene por objeto subsanar las deficiencias de la anterior Directiva SRI, adaptarla a las necesidades actuales y hacerla preparada para el futuro.
Con este fin, la propuesta de la Comisión amplía el ámbito de aplicación de la actual Directiva SRI añadiendo nuevos sectores basados en su criticidad para la economía y la sociedad, e introduciendo un límite de tamaño claro, lo que significa que todas las empresas medianas y grandes de sectores seleccionados se incluirán en el ámbito de aplicación. Al mismo tiempo, deja cierta flexibilidad a los Estados miembros para identificar a las entidades más pequeñas con un alto perfil de riesgo para la seguridad.
La propuesta también elimina la distinción entre operadores de servicios esenciales y proveedores de servicios digitales. Las entidades se clasificarían en función de su importancia y se dividirían respectivamente en categorías esenciales e importantes con la consecuencia de estar sujetas a diferentes regímenes de supervisión.
La propuesta refuerza los requisitos de seguridad para las empresas, imponiendo un enfoque de gestión de riesgos que proporcione una lista mínima de elementos básicos de seguridad que deben aplicarse. La propuesta introduce disposiciones más precisas sobre el proceso de notificación de incidentes, el contenido de los informes y los plazos.
Además, la Comisión propone abordar la seguridad de las cadenas de suministro y las relaciones con los proveedores, exigiendo a las empresas individuales que aborden los riesgos de ciberseguridad en las cadenas de suministro y las relaciones con los proveedores. A nivel europeo, la propuesta refuerza la ciberseguridad de la cadena de suministro para las tecnologías clave de la información y la comunicación. Los Estados miembros, en cooperación con la Comisión y ENISA, llevarán a cabo evaluaciones coordinadas de los riesgos de las cadenas de suministro críticas, basándose en el enfoque exitoso adoptado en el contexto de la Recomendación de la Comisión sobre ciberseguridad de las redes 5G.
La propuesta introduce medidas de supervisión más estrictas para las autoridades nacionales, requisitos de ejecución más estrictos y tiene por objeto armonizar los regímenes de sanciones en todos los Estados miembros.
La propuesta también refuerza el papel del Grupo de Cooperación en la configuración de las decisiones políticas estratégicas sobre tecnologías emergentes y nuevas tendencias, y aumenta el intercambio de información y la cooperación entre las autoridades de los Estados miembros. También mejora la cooperación operativa, incluida la gestión de crisis cibernéticas.
La propuesta de la Comisión establece un marco básico con agentes clave responsables sobre la divulgación coordinada de vulnerabilidades para las vulnerabilidades recientemente descubiertas en toda la UE y la creación de un registro de la UE en el gestionado por la Agencia de la Unión Europea para la Ciberseguridad (ENISA).
Próximos pasos
Las acciones relevantes de los próximos pasos son:
- La propuesta estará sujeta a negociaciones entre los colegisladores, en particular el Consejo de la UE y el Parlamento Europeo.
- Una vez que la propuesta se apruebe y, en consecuencia, se adopte, los Estados miembros tendrán que transponer la Directiva SRI2 en un plazo de 18 meses.
- La Comisión debe revisar periódicamente la Directiva SRI2 e informar por primera vez sobre la revisión 54 meses después de la entrada en vigor.
- La Comisión Europea espera con interés la aplicación de la nueva estrategia cibernética en los próximos meses.
Related content
Policy and legislation | 16 diciembre 2020
-