En una declaración conjunta publicada el 13 de mayo de 2022, el Consejo de la Unión Europea y el Parlamento Europeo desvelado esquemas de un nuevo acuerdo (el IRS 2) sobre medidas para garantizar un alto nivel de ciberseguridad en toda la Unión.
La directiva NIS 2 debe permitir hacer frente a la creciente exposición de Europa a las ciberamenazas
Con esta nueva directiva, las dos instituciones esperan mejorar aún más la capacidad de resiliencia y reacción de las entidades europeas, ante incidentes en los sectores público y privado y de la Unión en su conjunto. Este texto, bautizado “IRS 2”reemplazará la actual directiva sobre la seguridad de las redes y los sistemas de información (la directiva NIS). Según el comunicado de prensa del Consejo y el Parlamento Europeo, “la directiva revisada contribuye a la reducción de las divergencias en los requisitos de ciberseguridad”.
La Unión Europea refuerza la seguridad informática de las entidades financieras
En concreto, esta nueva versión de la directiva RIS permitirá actualizar la lista de sectores y actividades supervisadas. también proporciona “remedios y sanciones para asegurar su adecuada implementación”. La idea es que todos los Estados miembros están en el mismo nivel de protección, estableciendo reglas mínimas para la regulación y fortaleciendo los mecanismos para una cooperación efectiva entre las autoridades nacionales competentes. El texto también debe permitir el establecimiento de la red europea para la preparación y gestión de cibercrisis (UE-CYCLONe).
Otro importante paso adelante para la agenda digital europea
Según Margrethe Vestager, comisaria europea de Competencia y especialista en temas digitales, “Hemos trabajado incansablemente en la transformación digital de nuestra empresa. En los últimos meses, hemos implementado una serie de elementos fundamentales, como la legislación de mercados digitales y la legislación de servicios digitales. Y hoy, los Estados miembros y el Parlamento Europeo llegaron a un acuerdo sobre la Directiva NIS 2. Este es otro paso importante en nuestra agenda digital europea, que garantizará la protección de los ciudadanos y las empresas y fortalecerá su confianza en los servicios esenciales”..
Según la antigua Directiva NIS, los Estados miembros eran responsables de determinar “qué entidades cumplieron los criterios para ser calificados como operadores de servicios esenciales”. Esta nueva versión permitirá una importante evolución: la nueva directiva SRI 2 introduce una regla asociada a un techo. Según el comunicado de prensa, esto significa que todas las medianas y grandes entidades operando en los sectores cubiertos por la directiva (como energía, transporte, salud, infraestructura digital o incluso empresas tecnológicas), o brindando servicios que entran dentro de su alcance.
Este texto no se aplicará a las entidades que desarrollen actividades en áreas tales como la defensa o seguridad nacional, la seguridad pública, la aplicación de la ley y el poder judicial. Parecería que los bancos centrales también están excluidos del ámbito de aplicación de la directiva NIS 2. Por otro lado, administraciones públicas, a menudo blanco de grupos ciberdelincuentes (como es el caso actualmente en Costa Rica), se ven afectados por la directiva actualizada. Una vez aprobado, los Estados miembros tendrán 21 meses para incorporar sus disposiciones a la legislación nacional.