Directiva SRI 2: nuevas normas sobre ciberseguridad de las redes y sistemas de información

La Directiva SRI 2 establece un marco jurídico unificado para defender la ciberseguridad en dieciocho sectores críticos de toda la UE. También pide a los Estados miembros que definan estrategias nacionales de ciberseguridad y colaboren con la UE para la reacción y el cumplimiento transfronterizos.

La ciberseguridad implica proteger las redes y los sistemas de información (NIS), sus usuarios y otras personas afectadas de incidentes y amenazas cibernéticas. Para responder al aumento de la exposición de Europa a las ciberamenazas, la Directiva 2022/2555, también conocida como SRI 2, sustituyó a su predecesora, la Directiva 2016/1148 o SRI 1. La SRI 2 eleva el nivel común de ambición de la UE en materia de ciberseguridad, a través de un ámbito de aplicación más amplio, normas más claras y herramientas de supervisión más sólidas. Exige a los Estados miembros que mejoren sus capacidades de ciberseguridad, al tiempo que introducen medidas de gestión de riesgos y requisitos de notificación a las entidades de más sectores y establecen normas para la cooperación, el intercambio de información, la supervisión y el cumplimiento de las medidas de ciberseguridad.

La Directiva exige que cada Estado miembro adopte una estrategia nacional de ciberseguridad, que incluya políticas para la seguridad de la cadena de suministro, la gestión de vulnerabilidades y la educación y sensibilización en materia de ciberseguridad. Los Estados miembros también deben establecer y actualizar periódicamente una lista de operadores de servicios esenciales, garantizando que estas entidades cumplan los requisitos de la Directiva.

Además de los sectores ya cubiertos por la SRI 1, como la energía, el transporte, la asistencia sanitaria, las finanzas, la gestión del agua y las infraestructuras digitales, estas normas se aplican a los proveedores de servicios públicos de comunicaciones electrónicas, más servicios digitales como las plataformas sociales, la gestión de aguas residuales y residuos, la fabricación de productos críticos, los servicios postales y de mensajería y la administración pública, tanto a nivel central como regional o espacial. Por regla general, las entidades medianas y grandes de estos sectores críticos tendrán que adoptar medidas adecuadas de gestión de riesgos de ciberseguridad y notificar incidentes significativos a las autoridades nacionales pertinentes. Estos son incidentes que podrían causar interrupciones o daños significativos.

La Directiva también incluye disposiciones sobre supervisión, aplicación y revisiones voluntarias por pares para mejorar la confianza mutua y las capacidades de ciberseguridad en toda la UE. También introduce la rendición de cuentas de la alta dirección por el incumplimiento de las medidas de gestión de riesgos de ciberseguridad, llamando así la atención de la sala de juntas sobre la ciberseguridad.

La directiva establece una red de equipos de respuesta a incidentes de seguridad informática (CSIRT) para intercambiar información sobre amenazas cibernéticas y responder a incidentes. Estos equipos son cruciales para mantener el conocimiento de la situación y ofrecer asistencia. Para gestionar incidentes o crisis de ciberseguridad a gran escala, la Directiva crea la red europea de organizaciones de enlace para cibercrisis (EU-CyCLONe). Esta red apoya la gestión coordinada y garantiza el intercambio periódico de información entre los Estados miembros y las instituciones de la UE en caso de incidentes y crisis a gran escala.

Paralelamente, el Grupo de Cooperación SRI es una plataforma creada por la Directiva SRI para facilitar la cooperación estratégica y el intercambio de información entre los Estados miembros de la UE, la Comisión Europea y la Agencia de la UE para la Ciberseguridad (ENISA). El grupo publica directrices y recomendaciones no vinculantes para apoyar la aplicación de la Directiva SRI.

Antecedentes

La NIS 1 (Directiva 2016/1148) fue la primera legislación global de la UE destinada a impulsar la ciberseguridad de las redes y los sistemas de información para salvaguardar servicios vitales para la economía y la sociedad de la UE. En diciembre de 2020, la Comisión propuso revisar la SRI 1, lo que dio lugar a la adopción de la SRI 2, que entró en vigor en enero de 2023. Los Estados miembros tenían hasta el 17 de octubre de 2024 para transponer la Directiva SRI 2 al Derecho nacional. NIS 2 derogó NIS1 a partir del 18 de octubre de 2024.

La Comisión ha incoado procedimientos de infracción mediante el envío de cartas de emplazamiento a veintitrés Estados miembros por no haber transpuesto plenamente la Directiva SRI 2 al Derecho nacional en la fecha límite del 17 de octubre de 2024. Los Estados miembros tienen que responder y completar su transposición de la Directiva. Si no lo hacen, la Comisión puede emitir un dictamen motivado, que es una solicitud formal para cumplir con el Derecho de la UE. El incumplimiento continuado podría dar lugar a que el asunto se remitiera al Tribunal de Justicia de la Unión Europea, que puede imponer sanciones pecuniarias.

Últimas noticias

Image representing the EU flag next to the Republic of Korea flag

Comunicado de prensa
10 marzo 2025

La UE y Corea profundizan sus lazos con un histórico acuerdo comercial digital

La UE y la República de Corea han concluido las negociaciones de un acuerdo comercial digital (ACD) histórico, lo que subraya su compromiso con una asociación sólida y fiable que sea adecuada para hacer frente a la rápida evolución digital actual.

Digital illustration of a glowing padlock icon surrounded by circuit board patterns and data streams, representing cybersecurity and data protection.

Comunicado de prensa
24 febrero 2025

La Comisión pone en marcha un nuevo plan de ciberseguridad para mejorar la coordinación de la UE en materia de cibercrisis

La Comisión ha presentado hoy una propuesta para garantizar una respuesta eficaz y eficiente a los ciberincidentes a gran escala.

Comunicado de prensa
21 febrero 2025

La Comisión y el Alto Representante presentan medidas enérgicas para mejorar la seguridad de los cables submarinos

El 21 de febrero, en Helsinki (Finlandia), la vicepresidenta ejecutiva Henna Virkkunen presentó la Comunicación conjunta de la Comisión y la AR/VP para reforzar la seguridad y la resiliencia de los cables submarinos.

The IT system is accessed by a Doctor's fingerprint on the virtual screen.

Comunicado de prensa
15 enero 2025

La Comisión presenta un plan de acción para proteger al sector sanitario de los ciberataques

La Comisión ha presentado un plan de acción de la UE destinado a reforzar la ciberseguridad de los hospitales y los prestadores de asistencia sanitaria. Este Plan de Acción se anunció en las orientaciones políticas de la presidenta Von der Leyen como una prioridad clave en los primeros cien días del nuevo mandato.

Navegar @tema

Contenidos relacionados

Visión general

Políticas de Ciberseguridad

La Unión Europea trabaja en varios frentes para promover la ciberresiliencia, salvaguardar nuestra comunicación y nuestros datos y mantener la seguridad de la sociedad y la economía en línea.

Directiva SRI 2: nuevas normas sobre ciberseguridad de las redes y sistemas de información

Antecedentes

Últimas noticias

Contenidos relacionados

Visión general

Last update