Luz verde a NIS2

El Consejo de la Unión Europea ha adoptado una nueva directiva de ciberseguridad, NIS2 –que evoluciona la ya antigua NIS–, con el objetivo de mejorar la resiliencia y las capacidades de respuesta a incidentes en los países comunitarios. Esta establece un marco base para la gestión de riesgos y las obligaciones en todos los sectores, armonizando los requisitos y la implementación de medidas.

Según un comunicado del propio Consejo, “NIS2 establecerá la línea para las obligaciones de informar en todos los sectores que recubre la propia directiva, como el de la energía, el transporte, la salud y la infraestructura digital”.  De este modo, se actualiza la lista de industrias y actividades sujetas a obligaciones de ciberseguridad, y prevé remedios y sanciones para garantizar al cumplimiento. El comunicado cita también a la creación de la Red Europea de Organización de Enlace de Crisis Cibernéticas (EU-CYCLONe) para apoyar la gestión coordinada, de incidentes y crisis a gran escala.

Asimismo, el texto introduce una nueva regla de ‘límite de tamaño’ para la identificación de entidades reguladas, lo que significa que todos los organismos medianos y grandes que operan dentro de los sectores o brindan servicios cubiertos por la norma estarán dentro de su alcance. Además, se aclara que la directiva no se aplicará a las entidades de áreas como la defensa o la seguridad nacional, la seguridad pública y la aplicación de la ley. “El poder judicial, los parlamentos y los bancos centrales también están excluidos”.

Por otra parte, NIS2 se ha alineado también con la nube Ley de Resiliencia Operativa Digital (DORA) para el sector financiero y con el Centro Para la Reforma Europea (CER) sobre la resiliencia de infraestructuras críticas. Esto se ha hecho con el objetivo de garantizar la armonización entre leyes.

Está previsto que NIS2 se publique en los próximos meses y entre en vigor en torno a diciembre. A partir de ahí, los estados tendrán 21 meses para incorporar las disposiciones en sus textos jurídicos.