Ciudad de México,
Axel Olivares
Crédito foto: Sergio F Cara (NotiPress/Composición)
La Comisión Europea anunció la adopción de las primeras normas sobre ciberseguridad de entidades y redes críticas. Esta iniciativa busca disipar los riesgos en materia de ciberresiliencia proporcionando un criterio riguroso para considerar un caso como riesgo significativo.
El reglamento de aplicación se comenzará a aplicar a categorías específicas de empresas que prestan servicios digitales tales como proveedores de servicios de computación en la nube, proveedores de servicios de centros de datos, mercados en línea, motores de búsqueda en línea y plataformas de redes sociales. Cada categoría tendrá un acto de aplicación que especifique cuándo un incidente puede ser considerado significativo.
Coincidiendo con la fecha límite para que los Estados miembros transpongan la Directiva NIS2 a su legislación nacional, todos los gobiernos miembros deberán aplicar las medidas necesarias para cumplir las normas de ciberseguridad NIS2, incluidas las medidas de supervisión y ejecución. El reglamento de aplicación se publicará en el Diario Oficial oportunamente y entrará en vigor veinte días después.
Mientras que la Directiva NIS, la primera ley de la UE sobre ciberseguridad que entró en vigor en 2016, contribuyó a lograr un nivel común de seguridad de las redes y los sistemas de información en toda la UE, la Comisión propuso la revisión de la Directiva NIS en diciembre de 2020. Luego de implementarse en 2023, los Estados miembros tenían que transponer la Directiva NIS2 a su legislación nacional antes del 17 de octubre de 2024.
Esta nueva directiva busca garantizar un alto nivel de ciberseguridad en toda la Unión abarcando a entidades que operen en sectores críticos para la economía y la sociedad. Algunos de ellos son los proveedores de servicios públicos de comunicaciones electrónicas, la gestión de servicios de TIC, los servicios digitales, la gestión de aguas residuales y residuos, el espacio, la salud, la energía, el transporte, la fabricación de productos críticos, los servicios postales y de mensajería y la administración pública.
Con esta iniciativa, la UE tiene el objetivo de reforzar los requisitos de seguridad impuestos a las empresas y abordar la seguridad de las cadenas de suministro y las relaciones con los proveedores. Al mismo tiempo, busca agilizar las obligaciones de información e introducir medidas de supervisión más estrictas para las autoridades nacionales.
Asimismo, implementa requisitos de cumplimiento más estrictos con la finalidad de armonizar los regímenes de sanciones en los Estados miembros. A partir de esta Directiva, la Comisión Europea promete aumentar el intercambio de información y la cooperación en materia de gestión de crisis cibernéticas a nivel nacional y de la UE.