iStock photo Getty images Plus
Las normas garantizarán una Europa más segura y fuerte mediante la ampliación significativa de los sectores y tipos de entidades que entran en su ámbito de aplicación y el refuerzo de los requisitos de seguridad para las empresas.
Las amenazas recientes han intensificado la necesidad de impulsar rápida y conjuntamente la ciberseguridad de la UE para la protección de los ciudadanos y las empresas. También es fundamental que los sectores e infraestructuras críticos sigan siendo seguros y resilientes. Al abordar estos retos, la Directiva SRI 2 sustituye a las normas sobre seguridad de las redes y sistemas de información (Directiva SRI), que fueron la primera legislación a escala de la UE en materia de ciberseguridad que allana el camino para un enfoque regulador más innovador de la ciberseguridad en muchos Estados miembros.
Salvaguardar otros sectores cruciales
El aumento de la interconexión y la digitalización de determinados sectores da lugar a más ciberamenazas. Garantizar que más sectores y entidades tengan que adoptar medidas de gestión de riesgos de ciberseguridad aumentará el nivel de ciberseguridad en Europa. La Directiva SRI 2 abarca ahora otros sectores esenciales para la economía y la sociedad, incluidos los proveedores de redes y servicios públicos de comunicaciones electrónicas, los servicios de centros de datos, las aguas residuales y la gestión de residuos, la fabricación de productos críticos, los servicios postales y de mensajería y las entidades de la administración pública. Las normas también abarcan el sector sanitario de forma más general, por ejemplo incluyendo la investigación y el desarrollo de medicamentos o la fabricación de productos farmacéuticos. Los Estados miembros tendrán cierta discrecionalidad a la hora de identificar a las entidades más pequeñas con un perfil de seguridad elevado que deben incluirse en el ámbito de aplicación de la Directiva.
Mejora de los requisitos de seguridad para las empresas
La Directiva SRI 2 también refuerza los requisitos de gestión de riesgos de ciberseguridad que las empresas están obligadas a cumplir. Al igual que en el marco de la Directiva SRI, las empresas tendrán que adoptar medidas técnicas, operativas y organizativas adecuadas y proporcionadas para gestionar los riesgos de ciberseguridad, prevenir y minimizar el impacto de posibles incidentes. Este requisito se hace mucho más concreto en el marco de la SRI 2, con una lista de medidas específicas que incluyen, entre otras cosas, la respuesta a incidentes y la gestión de crisis, la gestión y divulgación de vulnerabilidades, las políticas y procedimientos para evaluar la eficacia de las medidas de gestión de riesgos de ciberseguridad, o la higiene y la formación en ciberseguridad.
Para contribuir a aumentar el intercambio de información y la cooperación en materia de gestión de crisis cibernéticas, tanto a escala nacional como de la UE, la Directiva racionaliza las obligaciones de notificación de incidentes con disposiciones más precisas sobre notificación, contenido y calendario. Además, existen medidas de supervisión más estrictas para las autoridades nacionales, así como requisitos de ejecución más estrictos, junto con la lista de sanciones administrativas, incluidas las multas por incumplimiento de las obligaciones de gestión de riesgos de ciberseguridad y de notificación.
Etapas siguientes
Los Estados miembros dispondrán de 21 meses para transponer la Directiva SRI 2 al Derecho nacional. Durante este período, los Estados miembros adoptarán y publicarán las medidas necesarias para dar cumplimiento a lo dispuesto en la presente Directiva.
En diciembre de 2022, el Consejo adoptó una Recomendación sobre un enfoque de coordinación a escala de la Unión para reforzar la resiliencia de las infraestructuras críticas, en la que se invita a los Estados miembros a acelerar los trabajos preparatorios para la transposición y aplicación de la SRI 2 y de la Directiva relativa a la resiliencia de las entidades críticas.
Antecedentes
La ciberseguridad es una prioridad de la Comisión y una piedra angular de la Europa digital y conectada.
La Directiva SRI, en vigor desde el 2016, es la primera ley en materia de ciberseguridad aplicable en toda la UE y ha contribuido a un alto nivel común de seguridad de las redes y sistemas de información en el conjunto de la Unión. La Directiva SRI abarcaba varios sectores, como la energía, el transporte, la banca y las finanzas, la salud, el suministro y la distribución de agua potable, así como las infraestructuras digitales. También abarcaba a los proveedores de servicios digitales, en particular a los proveedores de servicios en la nube, los mercados en línea y los motores de búsqueda en línea.
Como parte de su objetivo político clave de adaptar Europa a la era digital, la Comisión propuso revisarla en diciembre de 2020. El Reglamento de Ciberseguridad, en vigor desde 2019, dotó a la UE de un marco de certificación de la ciberseguridad de los productos, procesos y servicios, y reforzó el mandato de la Agencia de la Unión Europea para la Ciberseguridad (ENISA). En septiembre de 2022, la Comisión adoptó la propuesta de Ley de Ciberresiliencia, que establece requisitos de ciberseguridad para los productos con un elemento digital, que abarcan tanto el hardware como el software.