Dos nuevas directivas europeas para la resiliencia cibernética y física de entidades y redes críticas

  • NORMATIVAS

Esta semana entraron en vigor dos directivas clave sobre infraestructuras críticas y digitales que reforzarán la resiliencia de la UE frente a las amenazas online y offline, desde los ciberataques hasta la delincuencia, los riesgos para la salud pública o las catástrofes naturales.

  Recomendados....
 

El Dato de calidad: base de un servicio eficiente al ciudadano Acceder
Tendencias TI 2023 y factores para su despliegue Leer
Conectividad como base de la transformación. Entrevista al Director de  Agenda Digital, Junta de Extremadura Ver
Las recientes amenazas a la infraestructura crítica de la UE han intentado socavar nuestra seguridad colectiva. Ya en 2020, la Comisión había propuesto una mejora significativa de las normas de la Comunidad sobre la resiliencia de las entidades críticas y la seguridad de las redes y los sistemas de información.
 
Las dos directivas que acaban de entrar en vigor son:
 
 
La Directiva NIS 2 garantizará una Europa más segura y fuerte al ampliar significativamente los sectores y el tipo de entidades críticas que entran en su ámbito de aplicación. Estos incluyen proveedores de redes y servicios públicos de comunicaciones electrónicas, servicios de centros de datos, gestión de aguas residuales y residuos, fabricación de productos críticos, servicios postales y de mensajería y entidades de la administración pública, así como el sector de la salud en general.
 
Además, reforzará los requisitos de gestión de riesgos de ciberseguridad que las empresas están obligadas a cumplir, y racionalizará las obligaciones de notificación de incidentes con disposiciones más precisas sobre informes, contenido y cronograma. La Directiva NIS 2 sustituye a las normas sobre seguridad de las redes y sistemas de información, la primera legislación a escala de la UE sobre ciberseguridad.
 
Frente a un panorama de riesgos cada vez más complejo, la Directiva CER sustituye a la Directiva Europea de Infraestructuras Críticas de 2008. Las nuevas reglas fortalecerán la resiliencia de la infraestructura crítica a una serie de amenazas, incluidos peligros naturales, ataques terroristas, amenazas internas o sabotaje. Se cubrirán 11 sectores: energía, transporte, banca, infraestructuras de mercados financieros, salud, agua potable, aguas residuales, infraestructura digital, administración pública, espacio y alimentación. Los Estados miembros deberán adoptar una estrategia nacional y llevar a cabo evaluaciones periódicas de riesgos para identificar las entidades que se consideran críticas o vitales para la sociedad y la economía.
 
Los Estados miembros disponen de 21 meses para transponer ambas directivas al derecho nacional. Durante este período, los Estados miembros adoptarán y publicarán las medidas necesarias para su cumplimiento.
 
En diciembre de 2022, el Consejo adoptó una Recomendación sobre un enfoque de coordinación a escala de la Unión para reforzar la resiliencia de las infraestructuras críticas, en la que se invita a los Estados miembros a acelerar los trabajos preparatorios para la transposición y aplicación de la SRI 2 y de la directiva sobre la resiliencia de las entidades críticas (CER).