La nueva legislación establece requisitos más estrictos para las empresas, las administraciones y las infraestructuras 

Las diferentes medidas nacionales de ciberseguridad hacen que la UE sea más vulnerable 

Nuevos “sectores esenciales” cubiertos como energía, transporte, banca, salud 

La legislación, ya acordada entre los eurodiputados y el Consejo en mayo, establecerá obligaciones de ciberseguridad más estrictas para la gestión de riesgos, las obligaciones de presentación de informes y el intercambio de información. Los requisitos cubren la respuesta a incidentes, la seguridad de la cadena de suministro, el cifrado y la divulgación de vulnerabilidades, entre otras disposiciones.

Más entidades y sectores tendrán que tomar medidas para protegerse. Los «sectores esenciales» como la energía, el transporte, la banca, la salud, la infraestructura digital, la administración pública y el espacio estarán cubiertos por las nuevas disposiciones de seguridad.

Durante las negociaciones, los eurodiputados insistieron en la necesidad de reglas claras y precisas para las empresas y presionaron para que se incluyeran tantos organismos gubernamentales y públicos como fuera posible dentro del ámbito de aplicación de la directiva.

Las nuevas reglas también protegerán a los llamados «sectores importantes», como los servicios postales, la gestión de residuos, los productos químicos, los alimentos, la fabricación de dispositivos médicos, la electrónica, la maquinaria, los vehículos motorizados y los proveedores digitales. Todas las medianas y grandes empresas de sectores seleccionados estarían sujetas a la legislación.

También establece un marco para una mejor cooperación e intercambio de información entre diferentes autoridades y estados miembros y crea una base de datos de vulnerabilidad europea.

“El ransomware y otras ciberamenazas se han aprovechado de Europa durante demasiado tiempo. Necesitamos actuar para hacer que nuestras empresas, gobiernos y sociedad sean más resistentes a las operaciones cibernéticas hostiles”, dijo el eurodiputado líder Bart Groothuis (Renew, NL). «Esta directiva europea va a ayudar a unas 160.000 entidades a reforzar su control sobre la seguridad y hacer de Europa un lugar seguro para vivir y trabajar. También permitirá compartir información con el sector privado y socios de todo el mundo. Si estamos siendo atacados a escala industrial, debemos responder a escala industrial”, añadió. “Esta es la mejor legislación de seguridad cibernética que este continente haya visto hasta ahora, porque transformará a Europa para manejar los incidentes cibernéticos de manera proactiva y orientada al servicio”, agregó.

Próximos pasos

Los eurodiputados aprobaron el texto con 577 votos contra 6 y 31 abstenciones. Tras la aprobación del Parlamento, el Consejo también tiene que adoptar formalmente la ley antes de que se publique en el Diario Oficial de la UE.

La Directiva de seguridad de la información y las redes (NIS) fue la primera pieza de legislación de la UE sobre ciberseguridad, y su objetivo específico era lograr un alto nivel común de ciberseguridad en todos los Estados miembros. Si bien aumentó las capacidades de ciberseguridad de los Estados miembros, su implementación resultó difícil, lo que resultó en una fragmentación en diferentes niveles en todo el mercado interior.

Para responder a las crecientes amenazas que plantea la digitalización y el aumento de los ciberataques, la Comisión ha presentado una propuesta para sustituir la Directiva NIS y, por tanto, reforzar los requisitos de seguridad, abordar la seguridad de las cadenas de suministro, simplificar las obligaciones de notificación e introducir normas más estrictas. medidas de supervisión y requisitos de aplicación más estrictos, incluidas sanciones armonizadas en toda la UE.