Inicio Web. Cierra UE acuerdo contra ciberataques

Cierra UE acuerdo contra ciberataques

La Unión Europea logra un acuerdo para reforzar la seguridad contra los ciberataques

Unión Europea

El Consejo y el Parlamento Europeo, colegisladores en la Unión Europea, alcanzaron un acuerdo para reforzar la normativa comunitaria sobre cibersecuridad, de forma que mejore la resiliencia y las capacidades de respuesta a incidentes en la UE tanto en el sector público como privado.

La revisión de la Directiva Redes y Sistemas de Información (NIS), conocida como NIS2, facilitará una mayor cooperación y gestión de riesgos e incidentes ya que establecerá las medidas de gestión y las obligaciones de notificación de posibles problemas en sectores como la energía, el transporte, la salud y la infraestructura digital.

‘Acuerdo en NIS2 esta noche! Garantiza un alto nivel común de ciberseguridad en toda la UE. Estamos protegiendo nuestras economías y nuestras sociedades contra las ciberamenazas. Mejorar la preparación, la resiliencia, proteger nuestra democracia’, publicó en Twitter el vicepresidente de la Comisión encargado del área de Seguridad e Interior, Margaritas Schinas.

El acuerdo, que aún deben aprobar los embajadores de los Veintisiete y el pleno de la Eurocámara, establece un marco regulatorio para eliminar las divergencias en los requisitos de seguridad y en la implementación de medidas (…) en diferentes Estados miembros, informó el Consejo en un comunicado.

La legislación establecerá también sanciones para garantizar el cumplimiento de la normativa y creará formalmente la Red Europea de Organización de Enlace de Crisis Cibernéticas (EU-CYCLONe), con la misión de apuar la gestión coordinada de incidentes de ciberseguridad a gran escala, agregó el Consejo.

Con la legislación antigua, eran los países de la UE los que determinaban qué entidades entraban en la categoría de servicios esenciales y por tanto estaban sujetas a ciertas obligaciones.

La revisión de la Directiva introduce una regla común que abarca a todas las entidades medianas y grandes que operen o presten servicios dentro de los sectores cubiertos por la directiva, aunque con disposiciones adicionales para garantizar la proporcionalidad, un mayor nivel de gestión de riesgos y criterios claros para determinar las entidades cubiertas.

La normativa no se aplicará a las entidades dedicadas a la defensa, la seguridad nacional, la seguridad pública o las fuerzas del orden, así como los Parlamentos y los bancos centrales.

Sí cubrirá, en cambio, a las administraciones públicas de los gobiernos centrales, ya que suelen ser objeto de ciberataques, precisó el Consejo.

Entre las modificaciones introducidas durante la negociación final entre Parlamento y Consejo respecto a la propuesta original de la Comisión Europea destaca la alineación de las medidas con reglas de otras áreas de actividad, como los servicios financiero o las entidades críticas para «aportar claridad jurídica y garantizar coherencia» entre los diferentes paquetes normativos.

Además, se incluye un mecanismo voluntario de aprendizaje e intercambio de experiencias para fomentar la confianza mutua y se simplifican los requisitos de notificación para evitar que se produzca un exceso de información y se cree una carga excesiva para las entidades cubiertas.