Directiva SRI 2: nuevas normas sobre ciberseguridad de las redes y sistemas de información

La ciberseguridad implica proteger las redes y los sistemas de información (NIS), sus usuarios y otras personas afectadas de incidentes y amenazas cibernéticas. Para responder al aumento de la exposición de Europa a las ciberamenazas, la Directiva 2022/2555, también conocida como SRI 2, sustituyó a su predecesora, la Directiva 2016/1148 o SRI 1. La SRI 2 eleva el nivel común de ambición de la UE en materia de ciberseguridad, a través de un ámbito de aplicación más amplio, normas más claras y herramientas de supervisión más sólidas. Exige a los Estados miembros que mejoren sus capacidades de ciberseguridad, al tiempo que introducen medidas de gestión de riesgos y requisitos de notificación a las entidades de más sectores y establecen normas para la cooperación, el intercambio de información, la supervisión y el cumplimiento de las medidas de ciberseguridad.

La Directiva exige que cada Estado miembro adopte una estrategia nacional de ciberseguridad, que incluya políticas para la seguridad de la cadena de suministro, la gestión de vulnerabilidades y la educación y sensibilización en materia de ciberseguridad. Los Estados miembros también deben establecer y actualizar periódicamente una lista de operadores de servicios esenciales, garantizando que estas entidades cumplan los requisitos de la Directiva. 

Además de los sectores ya cubiertos por la SRI 1, como la energía, el transporte, la asistencia sanitaria, las finanzas, la gestión del agua y las infraestructuras digitales, estas normas se aplican a los proveedores de servicios públicos de comunicaciones electrónicas, más servicios digitales como las plataformas sociales, la gestión de aguas residuales y residuos, la fabricación de productos críticos, los servicios postales y de mensajería y la administración pública, tanto a nivel central como regional o espacial. Por regla general, las entidades medianas y grandes de estos sectores críticos tendrán que adoptar medidas adecuadas de gestión de riesgos de ciberseguridad y notificar incidentes significativos a las autoridades nacionales pertinentes. Estos son incidentes que podrían causar interrupciones o daños significativos. 

La Directiva también incluye disposiciones sobre supervisión, aplicación y revisiones voluntarias por pares para mejorar la confianza mutua y las capacidades de ciberseguridad en toda la UE. También introduce la rendición de cuentas de la alta dirección por el incumplimiento de las medidas de gestión de riesgos de ciberseguridad, llamando así la atención de la sala de juntas sobre la ciberseguridad.

La directiva establece una red de equipos de respuesta a incidentes de seguridad informática (CSIRT) para intercambiar información sobre amenazas cibernéticas y responder a incidentes. Estos equipos son cruciales para mantener el conocimiento de la situación y ofrecer asistencia. Para gestionar incidentes o crisis de ciberseguridad a gran escala, la Directiva crea la red europea de organizaciones de enlace para cibercrisis (EU-CyCLONe). Esta red apoya la gestión coordinada y garantiza el intercambio periódico de información entre los Estados miembros y las instituciones de la UE en caso de incidentes y crisis a gran escala. 

Paralelamente, el Grupo de Cooperación SRI es una plataforma creada por la Directiva SRI para facilitar la cooperación estratégica y el intercambio de información entre los Estados miembros de la UE, la Comisión Europea y la Agencia de la UE para la Ciberseguridad (ENISA). El grupo publica directrices y recomendaciones no vinculantes para apoyar la aplicación de la Directiva SRI.

Antecedentes

La NIS 1 (Directiva 2016/1148) fue la primera legislación global de la UE destinada a impulsar la ciberseguridad de las redes y los sistemas de información para salvaguardar servicios vitales para la economía y la sociedad de la UE. En diciembre de 2020, la Comisión propuso revisar la SRI 1, lo que dio lugar a la adopción de la SRI 2, que entró en vigor en enero de 2023. Los Estados miembros tenían hasta el 17 de octubre de 2024 para transponer la Directiva SRI 2 al Derecho nacional. NIS 2 derogó NIS1 a partir del 18 de octubre de 2024.

La Comisión ha incoado procedimientos de infracción mediante el envío de cartas de emplazamiento a veintitrés Estados miembros por no haber transpuesto plenamente la Directiva SRI 2 al Derecho nacional en la fecha límite del 17 de octubre de 2024. Los Estados miembros tienen que responder y completar su transposición de la Directiva. Si no lo hacen, la Comisión puede emitir un dictamen motivado, que es una solicitud formal para cumplir con el Derecho de la UE. El incumplimiento continuado podría dar lugar a que el asunto se remitiera al Tribunal de Justicia de la Unión Europea, que puede imponer sanciones pecuniarias.