17 mayo 2022
Reforzar la ciberseguridad y la resiliencia en toda la UE: acuerdo provisional entre el Consejo y el Parlamento Europeo
El Consejo y el Parlamento Europeo han llegado a un acuerdo sobre medidas para garantizar un elevado nivel común de ciberseguridad en toda la UE, a fin de seguir mejorando la resiliencia y las capacidades de respuesta ante incidentes tanto del sector público como del sector privado, así como del conjunto de la UE.
Una vez adoptada, la nueva Directiva, denominada SRI 2, sustituirá a la Directiva actual sobre la seguridad de las redes y sistemas de información (Directiva SRI).
La Directiva SRI 2 sentará las bases para las medidas de gestión de riesgos de ciberseguridad y las obligaciones de notificación en todos los sectores que cubre, como la energía, el transporte, la sanidad y la infraestructura digital.
La Directiva revisada tiene por objeto eliminar las divergencias de los requisitos de ciberseguridad y de aplicación de las medidas de ciberseguridad entre los distintos Estados miembros. Para lograrlo, establece normas mínimas para un marco regulador y mecanismos para una cooperación eficaz entre las autoridades competentes de cada Estado miembro. Actualiza la lista de sectores y actividades sujetos a las obligaciones en materia de ciberseguridad y establece vías de recurso y sanciones para garantizar el cumplimiento de la legislación.
La Directiva creará oficialmente la red CyCLONe de organizaciones de enlace nacionales para la gestión de cibercrisis, que apoyará la gestión coordinada de los ciberincidentes a gran escala.
Mientras que, con arreglo a la antigua Directiva SRI, los Estados miembros eran responsables de determinar qué entidades cumplirían los criterios para ser consideradas operadores de servicios esenciales, la nueva Directiva SRI 2 introduce una norma sobre el tamaño máximo. Esto significa que todas las entidades medianas y grandes que operen en los sectores o presten servicios cubiertos por la Directiva entran en su ámbito de aplicación.
Si bien el acuerdo entre el Parlamento Europeo y el Consejo mantiene esta norma general, el texto acordado con carácter provisional incluye disposiciones adicionales para garantizar la proporcionalidad, un mayor nivel de gestión de riesgos y criterios claros sobre el grado de importancia para determinar qué entidades están cubiertas.
El texto aclara también que la Directiva no se aplicará a las entidades que lleven a cabo actividades en ámbitos como la defensa o la seguridad nacional, la seguridad pública, la policía y el poder judicial. También están excluidos del ámbito de aplicación los parlamentos y los bancos centrales.
Dado que las administraciones públicas son también a menudo objeto de ciberataques, la Directiva SRI 2 se aplicará a los órganos centrales y regionales de las administraciones públicas. Además, los Estados miembros podrán decidir que se aplique también a dichos órganos a escala local.
El Parlamento Europeo y el Consejo de la UE han adaptado el texto a la legislación sectorial específica, en particular al Reglamento sobre la resiliencia operativa digital del sector financiero (DORA) y a la Directiva relativa a la resiliencia de las entidades críticas (CER), a fin de aportar claridad jurídica y garantizar la coherencia entre la Directiva SRI 2 y estos actos.
Un mecanismo voluntario de aprendizaje entre iguales aumentará la confianza mutua y reforzará el aprendizaje a partir de buenas prácticas y experiencias, contribuyendo así a lograr un elevado nivel común de ciberseguridad.
Los dos colegisladores han racionalizado además las obligaciones de notificación con el fin de evitar que se produzca un exceso de información y se cree una carga excesiva para las entidades cubiertas.
Los Estados miembros dispondrán de 21 meses a partir de la entrada en vigor de la Directiva para incorporarla a su Derecho nacional. El acuerdo provisional alcanzado debe ser ahora refrendado por el Consejo y el Parlamento Europeo. Por parte del Consejo de la UE, la Presidencia francesa tiene intención de presentar el acuerdo en breve al Comité de Representantes Permanentes para su aprobación.