Publicada la Directiva NIS2 relativa a las medidas de ciberseguridad en la UE
- NORMATIVAS
Conocida como NIS2, la Directiva (UE) 2022/2555 establece principalmente los deberes en términos de ciberseguridad para los Estados miembros y las medidas que estos han de tomar en la gestión de riesgos, así como las obligaciones de notificación para las entidades en su ámbito de aplicación.
Recomendados.... Inteligencia Artificial en el sector público. El ejemplo de Neuralia (Gob. La Rioja) Caso práctico
|
El 27 de diciembre de 2022 se publicó la DIRECTIVA (UE) 2022/2555 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.o 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2), conocida también como NIS2.
Esta Directiva establece deberes de ciberseguridad para los Estados miembros, medidas para la gestión de riesgos y obligaciones de notificación para las entidades en su ámbito de aplicación, relativas al intercambio de información sobre ciberseguridad, así como a la supervisión y labores de ejecución.
En primer lugar, la Directiva NIS2 establece para los Estados miembros obligaciones en relación con las siguientes cuestiones: elaborar, mantener y comunicar a la Comisión un listado de entidades esenciales e importantes; adoptar, notificar a la Comisión y evaluar periódicamente una estrategia nacional de ciberseguridad; designar autoridades competentes de ciberseguridad, supervisión y punto de contacto único, así como notificar a la Comisión y garantizar recursos para que puedan realizar su función; articular una plan nacional para la gestión de una crisis de ciberseguridad, y designar autoridades competentes y determinar capacidades; elegir equipos de respuesta a incidentes de seguridad informática (CSIRT), así como garantizar recursos, capacidades técnicas y cooperación efectiva; señalar CSIRT para la divulgación coordinada de vulnerabilidades; asegurar la cooperación a escala nacional (junto con disposiciones relativas a la cooperación en el ámbito europeo); y, en lo tocante a la supervisión y ejecución, garantizar que las autoridades competentes supervisen efectivamente y adopten las medidas necesarias incluyendo régimen sancionatorio.
En segundo lugar, la Directiva NIS2 establece para las entidades en su alcance, indicadas en sus anexos I y II, obligaciones tales como la adopción de medidas de gobernanza, la gestión de riesgos de ciberseguridad e información (reporting); la adopción de medidas técnicas y organizativas proporcionadas para gestionar los riesgos de ciberseguridad, así como para prevenir y minimizar el impacto de posibles ciberincidentes; la notificación de los incidentes de ciberseguridad al CSIRT o autoridad competente correspondiente; la formación de gestores sobre los riesgos de ciberseguridad; el uso de esquemas europeos de certificación; el envío a las autoridades competentes de información requerida y la notificación de cualquier cambio en la misma. Adicionalmente se contemplan el intercambio voluntario de información de ciberseguridad entre entidades esenciales e importantes, y la notificación, de forma voluntaria, a las autoridades competentes o a los CSIRT cualquier incidente, amenaza cibernética o cuasi incidente relevante.
La directiva NIS 2 amplía su ámbito de aplicación para abarcar a entidades medianas y grandes de más sectores críticos para la economía y la sociedad, incluyendo proveedores de servicios públicos de comunicaciones electrónicas, servicios digitales, gestión de aguas residuales y residuos, fabricación de productos críticos, servicios postales y de mensajería, así como a las Administraciones Públicas (en el caso de España, Entidades de la Administración General del Estado y Entidades de administraciones públicas de Comunidades Autónomas; y se podrá determinar su aplicación a entidades de la Administración Pública a nivel local).
La Directiva NIS 2 contempla, además, la seguridad de la cadena de suministro y las relaciones con los proveedores, e introduce la responsabilidad de la alta dirección por el incumplimiento de las obligaciones de ciberseguridad.