La Unión Europea aprueba la Directiva NIS (Network and Information Security)

Diario Oficial de la Unión Europea

La nueva norma, conocida como la Directiva NIS o de ciberseguridad y que fue aprobada el pasado 6 de julio por el Parlamento Europeo y el Consejo de la Unión Europea, dicta las medidas de prevención y respuesta para evitar ataques a empresas y a servicios clave para la Unión Europea.

Las redes y sistemas de información desempeñan un papel crucial en la sociedad. Su fiabilidad y seguridad son esenciales para las actividades económicas y sociales y, en particular, para el funcionamiento del mercado interior. La magnitud, la frecuencia y los efectos de los incidentes de seguridad se están incrementando y representan una grave amenaza para el funcionamiento de las redes y sistemas de información. Esos sistemas pueden convertirse, además, en objetivo de acciones nocivas deliberadas destinadas a perjudicar o interrumpir su funcionamiento. Este tipo de incidentes puede interrumpir las actividades económicas, generar considerables pérdidas financieras, menoscabar la confianza del usuario y causar grandes daños a la economía de la Unión. Por ello, el pasado 6 de julio, el Parlamento Europeo y el Consejo de la Unión Europea aprobaron la Directiva (UE) 2016/1148relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión Europea (UE).

Este nuevo marco establece, entre otras obligaciones, que todos los Estados miembros adopten una estrategia nacional de seguridad de las redes y sistemas de información que establezca los objetivos estratégicos y las medidas políticas y normativas adecuadas con objeto de alcanzar y mantener un elevado nivel de seguridad de las redes y sistemas de información y que cubra, al menos, los sectores de energía (electricidad, crudo y gas), transporte (aéreo, ferrocarril, marítimo y fluvial, y por carretera), banca, financiero, sanitario, infraestructura digital y suministro y distribución de agua potable.

Además, también instaura un Grupo de Cooperación para apoyar y facilitar la cooperación estratégica y el intercambio de información entre los Estados miembros y desarrollar la confianza y seguridad entre ellos, así como crea una red de equipos de respuesta a incidentes de seguridad informática (en lo sucesivo, «red de CSIRT», por sus siglas en inglés de: Computer Security Incident Response Teams) con el fin de contribuir al desarrollo de la confianza y seguridad entre los Estados miembros y promover una cooperación operativa rápida y eficaz.

La red de CSIRT estará formada por representantes de los CSIRT de los Estados miembros. La Comisión participará en la red de CSIRT en calidad de observador. La Agencia Europea de Seguridad de las Redes y de la Información (ENISA) se hará cargo de la secretaría y apoyará activamente la cooperación entre los CSIRT.

Asimismo, también implanta unos requisitos en materia de seguridad y notificación para los operadores de servicios esenciales y para los proveedores de servicios digitales y establece obligaciones para que los Estados miembros designen autoridades nacionales competentes, puntos de contacto únicos y CSIRT con funciones relacionadas con la seguridad de las redes y sistemas de información.

Cada país miembro de la UE deberá identificar cuáles son las compañías clave, a partir de los criterios establecidos en la directiva, así como revisarán con regularidad, y al menos cada dos años a partir del 9 de mayo de 2018, la lista de operadores de servicios esenciales identificados y la actualizarán cuando proceda.

Se ha establecido un plazo de 22 meses para que cada Estado miembro traslade la Directiva a su legislación.

Para ver la directiva completa descargue el PDF adjunto.