Revista AJA 992-articulos

inline Rectangle nº 992 - 26 de enero de 2023

La nueva normativa europea sobre ciberseguridad y resiliencia ya es de aplicación

inline Rectangle

Paula Garralón. Abogada experta en nuevas tecnologías del despacho Bird & Bird

Entran en vigor dos directivas clave sobre infraestructuras críticas y digitales que reforzarán la resiliencia de la UE frente a las amenazas online y offline

El contexto reciente ha puesto de manifiesto las graves amenazas que existen para las infraestructuras críticas europeas y el menoscabo que supondría para la seguridad colectiva

Uno de los objetivos en los que la Comisión Europea ha estado trabajando ha sido la mejora de las normas sobre resiliencia de infraestructuras críticas, así como la seguridad de las redes y los sistemas de información. El contexto reciente ha puesto de manifiesto las graves amenazas que existen para las infraestructuras críticas europeas y el menoscabo que supondría para la seguridad colectiva en caso de materializarse.

Los últimos días de diciembre, se publicaban en el Diario de la Unión Europea (DOUE), la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión (Directiva NIS2) y la Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a la resiliencia de las entidades críticas (Directiva de CER).

Legislación europea actual sobre ciberseguridad

La entrada en vigor de las dos directivas se encuadra en un marco normativo mucho más amplio, que incluye otro paquete de normas dirigidas a garantizar un alto nivel de ciberseguridad común, como por ejemplo el Reglamento sobre la resiliencia operativa digital (Reglamento DORA), que busca garantizar que el sector financiero en Europa siga funcionando de forma resiliente en caso de grave perturbación operativa, la propuesta de nueva Ley de Ciber resiliencia para proteger a los consumidores y las empresas frente a los productos con características de seguridad inadecuadas, o las leyes de servicios digitales y mercados digitales, que pretenden crear un espacio digital más seguro en el que se protejan los derechos fundamentales de todos los usuarios de los servicios digitales y establecer unas condiciones de competencia equitativas para fomentar la innovación, el crecimiento y la competitividad, tanto en el mercado único europeo como a nivel mundial.

Directiva NIS2

La Directiva NIS 2 sustituye la anterior Directiva NIS, con el objetivo de mejorar la resiliencia y la capacidad de respuesta ante ciberincidentes del sector público y privado en toda la Unión Europea. Se pretende eliminar las diferencias entre los requisitos de ciberseguridad existentes para los distintos Estados miembros, estableciendo normas mínimas y mecanismos para una cooperación eficaz entre las autoridades de cada Estado miembro (creación de la Red Europea de Organizaciones de Enlace de Crisis Cibernéticas [EY-CYCLONe]).

Entre otras novedades, la Directiva amplía el ámbito de aplicación a las entidades sujetas a la norma, estableciendo una regla de tamaño máximo para medianas empresas. Asimismo, pese a que las obligaciones son las mismas, el régimen sancionador es más elevado para las entidades esenciales que para las entidades importantes (nuevo concepto que aglutina la gestión de residuos, el sector aeroespacial, los proveedores y fabricantes de servicios digitales, el sector alimentario, servicios postales y aquellos dedicados a la generación y distribución de sustancias y productos químicos).

En cuanto a las obligaciones aplicables, además de crear requisitos de gestión de riesgos de ciberseguridad más específicos, establece obligaciones de información más estrictas, requiere el uso de productos, servicios y procesos certificados de acuerdo con el esquema europeo de certificación de la ciberseguridad, y establece la posibilidad de extender la responsabilidad personal a la dirección de la entidad.

Los Estados miembros cuentan con bastante margen para establecer medidas adicionales, así como para ampliar el ámbito de aplicación de la norma a su discreción.

Directiva CER

La Comisión insiste en que los medios de subsistencia de los ciudadanos europeos y el buen funcionamiento del mercado interior dependen de la prestación fiable de servicios fundamentales para las actividades sociales o económicas en muchos sectores diferentes. Por ello la adopción de la Directiva de Ciber resiliencia pretende fortalecer la resiliencia de la infraestructura crítica ante una variedad de amenazas, tales como los peligros naturales, los ataques terroristas, las amenazas internas o el sabotaje.

La Directiva crea un marco de gestión de riesgos para ayudar a los Estados miembros a garantizar que las entidades críticas puedan prevenir, resistir, absorber y recuperarse de incidentes disruptivos, sin importar si son causados por peligros naturales, accidentes, terrorismo, amenazas internas o emergencias de salud pública como la pandemia del COVID-19.

Los países de la UE deberán adoptar una estrategia nacional y realizar evaluaciones de riesgo periódicas para identificar entidades que se consideren críticas o vitales para la sociedad y la economía. Además, serán los Estados quienes establezcan las sanciones necesarias en caso de incumplimiento.

Siguientes pasos

Como siguientes pasos, las empresas deben valorar lo siguiente:

– Si cae bajo el ámbito de aplicación de alguna de las nuevas Directivas;

– En caso afirmativo, qué nuevos requisitos tendría que implementar la organización que entra dentro del alcance de la nueva legislación.

– Aunque las Directivas no fuesen de aplicación directa, evaluar si trata con proveedores o clientes que sí se encuentran bajo el ámbito de aplicación.

– Si se trata de un proveedor al que no le es de aplicación directa la normativa, es igualmente importante verificar si los Estados miembros en los que opera exigirán el uso de productos, servicios o procesos certificados.

– Preparar procesos para la notificación de incidentes y amenazas.

– Determinar las obligaciones atribuibles a los socios comerciales en los contratos de servicios, para facilitar una cadena de suministro fluida y compatible con la ciberseguridad.

– Analizar si existen requisitos de seguridad adicionales derivados de la normativa nacional que trasponga las Directivas, y conseguir así un enfoque coordinado en términos de implementación.

En términos de plazos, ambas Directivas cuentas con un período de transposición de veintiún meses, por lo que los Estados miembros deberán adoptar y publicar la normativa de desarrollo antes del 17 de octubre de 2024. ■