El Diario Oficial de la Unión Europea ha publicado, el 27 de diciembre, la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión. Esta nueva normativa, conocida como Directiva NIS 2, deroga su anterior versión y modifica el Reglamento relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior.
La Directiva NIS 2 obliga a los Estados miembros a adoptar estrategias nacionales de ciberseguridad y a designar o establecer autoridades competentes, de gestión de crisis de ciberseguridad, puntos de contacto únicos sobre ciberseguridad y equipos de respuesta a ciberincidentes.
Además, los países de la Unión Europea deberán establecer una serie de medidas para gestionar los ciberriesgos. Así como notificar obligatoriamente a las entidades competentes las brechas de ciberseguridad. De hecho, fija normas y obligaciones relativas al intercambio de información sobre ciberseguridad, supervisión y ejecución para los Estados miembros.
El objetivo principal es, por tanto, eliminar las diferencias en los requisitos de ciberseguridad y de aplicación de las medidas entre los Estados de la Unión Europea. De hecho, su publicación se produce el mismo día que la conocida como Directiva de Ciberresiliencia.
Sectores críticos
En la anterior versión, los Estados miembros eran responsables de determinar qué entidades cumplían los criterios para ser consideradas como operadores de servicios esenciales. Ahora, la nueva Directiva NIS 2 establece una norma sobre el tamaño máximo. Incluso decreta un mayor nivel de gestión de riesgos y criterios específicos para determinar qué entidades están cubiertas.
Tal es el punto, que añade nuevos sectores críticos. Es el caso del subsector hidrógeno, de los servicios postales y de mensajería o de la gestión de residuos.
La Directiva NIS 2 entra en vigor 20 días después de su publicación. Los Estados miembros deberán adoptar y publicar las medidas necesarias para cumplir lo establecido en esta normativa, como tarde, el 17 de octubre de 2024.
Archivado en: