El Parlamento Europeo anunció un “acuerdo provisional” destinado a mejorar la ciberseguridad y la resiliencia de las entidades del sector público y privado en la Unión Europea.
La directiva revisada, denominada “NIS2” (abreviatura de red y sistemas de información), se espera que reemplace el legislación existente sobre ciberseguridad que se estableció en julio de 2016.
La renovación establece reglas básicas, que requieren que las empresas de los sectores de energía, transporte, mercados financieros, salud e infraestructura digital se adhieran a las medidas de gestión de riesgos y obligaciones de información.
Entre las disposiciones de la nueva legislación se encuentran la notificación de incidentes de seguridad cibernética a las autoridades dentro de las 24 horas, el parcheo de vulnerabilidades de software y la preparación de medidas de gestión de riesgos para proteger las redes, lo que puede generar sanciones monetarias.
“La directiva establecerá formalmente la Red Europea de Organización de Enlace de Crisis Cibernéticas, EU-CYCLONe, que apoyará la gestión coordinada de incidentes de ciberseguridad a gran escala”, el Consejo de la Unión Europea dicho en un comunicado la semana pasada.
El desarrollo sigue de cerca los planes de la Comisión Europea para “detectar, informar, bloquear y eliminar” imágenes y videos de abuso sexual infantil de los proveedores de servicios en línea, incluidas las aplicaciones de mensajería, lo que genera preocupaciones de que puede socavar las protecciones de cifrado de extremo a extremo (E2EE). .
La versión preliminar de NIS2 establece explícitamente que el uso de E2EE “debe conciliarse con los poderes de los Estados miembros para garantizar la protección de sus intereses de seguridad esenciales y la seguridad pública, y para permitir la investigación, detección y enjuiciamiento de delitos penales de conformidad con con el derecho de la Unión”.
También enfatizó que “las soluciones para el acceso legal a la información en las comunicaciones encriptadas de extremo a extremo deben mantener la efectividad del encriptado para proteger la privacidad y la seguridad de las comunicaciones, al tiempo que brindan una respuesta efectiva al crimen”.
Dicho esto, la directiva no se aplicará a organizaciones en verticales como defensa, seguridad nacional, seguridad pública, aplicación de la ley, poder judicial, parlamentos y bancos centrales.
Como parte del acuerdo propuesto, los estados miembros de la Unión Europea tienen el mandato de incorporar las disposiciones en su legislación nacional en un plazo de 21 meses a partir de la entrada en vigor de la directiva.
“El número, la magnitud, la sofisticación, la frecuencia y el impacto de los incidentes de seguridad cibernética están aumentando y presentan una gran amenaza para el funcionamiento de las redes y los sistemas de información”, señaló el Consejo en el borrador.
“La preparación y la eficacia de la ciberseguridad son, por lo tanto, ahora más esenciales que nunca para el correcto funcionamiento del mercado interior”.