El Consejo ha adoptado legislación para garantizar un elevado nivel común de ciberseguridad en toda la UE, a fin de seguir mejorando la resiliencia y las capacidades de respuesta ante incidentes tanto del sector público como del sector privado, así como del conjunto de la UE.
La nueva Directiva, denominada SRI 2, sustituirá a la Directiva actual sobre la seguridad de las redes y sistemas de información (Directiva SRI).
Sin duda la ciberseguridad seguirá siendo uno de los principales retos en los próximos años. Hay mucho en juego para nuestras economías y para nuestros ciudadanos. Hoy hemos dado otro paso para mejorar nuestra capacidad de hacer frente a esta amenaza.Ivan Bartoš, vicepresidente del Gobierno de Digitalización y ministro de Desarrollo Regional de Chequia
Refuerzo de la gestión y la cooperación en materia de riesgos e incidentes
La Directiva SRI 2 sentará las bases para las medidas de gestión de riesgos de ciberseguridad y las obligaciones de notificación en todos los sectores que cubre, como la energía, el transporte, la sanidad y la infraestructura digital.
La Directiva revisada tiene por objeto armonizar los requisitos de ciberseguridad y de aplicación de las medidas de ciberseguridad entre los distintos Estados miembros. Para lograrlo, establece normas mínimas para un marco regulador y mecanismos para una cooperación eficaz entre las autoridades competentes de cada Estado miembro. Actualiza la lista de sectores y actividades sujetos a las obligaciones en materia de ciberseguridad y establece vías de recurso y sanciones para garantizar el cumplimiento de la legislación.
La Directiva creará oficialmente la red CyCLONe de organizaciones de enlace nacionales para la gestión de cibercrisis, que apoyará la gestión coordinada de los ciberincidentes y crisis a gran escala.
Ampliación del ámbito de aplicación de las normas
Mientras que, con arreglo a la antigua Directiva SRI, los Estados miembros eran responsables de determinar qué entidades cumplían los criterios para ser consideradas operadores de servicios esenciales, la nueva Directiva SRI 2 introduce el criterio del tamaño máximo como norma general para la determinación de las entidades reguladas. Esto significa que todas las entidades medianas y grandes que operen en los sectores o presten servicios cubiertos por la Directiva entran dentro de su ámbito de aplicación.
Aunque la Directiva establece el tamaño máximo como norma general, incluye disposiciones adicionales para garantizar la proporcionalidad, un nivel más elevado de gestión de riesgos y unos criterios de criticidad claramente definidos para permitir a las autoridades nacionales determinar otras entidades a las que debe aplicarse la Directiva.
El texto aclara también que la Directiva no se aplicará a las entidades que lleven a cabo actividades en ámbitos como la defensa o la seguridad nacional, la seguridad pública y el ámbito policial. También se excluyen de su ámbito de aplicación el poder judicial, los Parlamentos y los bancos centrales.
Sin embargo, la SRI 2 sí se aplicará a las administraciones centrales y regionales. Además, los Estados miembros podrán decidir que se aplique también a dichos órganos a escala local.
Otros cambios introducidos por las nuevas normas
La nueva Directiva se ha adaptado a la legislación sectorial, en particular al Reglamento sobre la Resiliencia Operativa Digital para el Sector Financiero (Reglamento DORA) y a a Directiva sobre la Resiliencia de las Entidades Críticas (Directiva REC), a fin de aportar claridad jurídica y garantizar la coherencia entre la SRI2 y estos otros actos.
Mediante un mecanismo voluntario de aprendizaje entre iguales se aumentará la confianza mutua y se reforzará el aprendizaje a partir del intercambio de buenas prácticas y experiencias en la Unión, contribuyendo así a lograr un elevado nivel común de ciberseguridad.
La nueva legislación racionaliza además las obligaciones de notificación con el fin de evitar que se produzca un exceso de información y se cree una carga excesiva para las entidades cubiertas.
Siguientes etapas
La Directiva se publicará en el Diario Oficial de la Unión Europea en los próximos días y entrará en vigor a los veinte días de su publicación.
Los Estados miembros dispondrán de 21 meses a partir de la entrada en vigor de la Directiva para incorporarla a su Derecho nacional.
