Opinión · kⒶosTICa
Europa pone orden en su ciberseguridad
Publicidad
La Unión Europea (UE) aprobó en 2016 su directivo de ciberseguridad, conocida como NIS (Network and Information Security), con la que pretendía crear un marco común seguridad para las redes y los sistemas de información de los Estados miembros. Aquel movimiento supuso el primer acto legislativo de la UE en materia de ciberseguridad. En esencia, buscaba definir una línea estratégica contra los ciberataques que, como hemos visto con el reciente caso de ransomware de la compañía de oleoductos Colonial en EEUU, están siendo cada vez más frecuentes.
La directiva venía a intentar predecir y gestionar los riesgos potenciales, con especial énfasis a la protección de las infraestructuras estratégicas. Apenas tres años después, el Parlamento europeo comenzó a plantear la necesidad de actualizar la directiva, mirando hacia una NIS 2.0, ampliando su alcance a otros sectores críticos que no se contemplaban en la primera versión.
El veredicto a la hora de juzgar el resultado de la primera directiva no ha sido muy positivo: ni ha sido lo suficientemente coherente ni se han conseguido los niveles de armonización deseados entre los diferentes países. Así pues, sería a principios de 2020 cuando se iniciara esta revisión para superar las limitaciones de NIS 1.0 y en diciembre de 2020 vio la luz la nueva versión. El espíritu de la norma continúa dando flexibilidad a los Estados para que sean ellos quienes definan qué entidades son esenciales y cuáles importantes, si bien para evitar las divergencias que había propiciado la primera directiva existe un listado común de partida.
Publicidad
En este sentido, la NIS de 2016 priorizaba la protección de los sectores de la energía, el transporte, el agua, la banca, las infraestructuras del mercado financiero, la sanidad y la infraestructura digital. Con NIS 2.0 se introducen nuevos sectores, clasificados como esenciales e importantes:
- Esenciales: Todos los anteriores y, además, las aguas residuales (alcantarillado), la Administración Pública y el espacio.
- Importantes: servicios postales y de mensajería; gestión de residuos; fabricación, producción y distribución de productos químicos; producción, procesamiento y distribución de alimentos; fabricación y proveedores digitales.
Publicidad
Asimismo, si en la NIS 1.0 se distinguía entre Operadores de Servicios Esenciales (OES) y Proveedores de Servicios Digitales (DSP), esta diferenciación queda ahora suprimida. Lo verdaderamente definitorio es su carácter de esencial o de importante.
NIS 2.0 refuerza los requisitos de seguridad exigibles a este tipo de entidades, obligándoles a contar con planes de gestión de riesgos en los que se detallen los elementos básicos de seguridad, así como planes de respuesta a incidentes, de continuidad de negocio y gestión de crisis.
Publicidad
No sólo eso, sino que se marca de manera estricta cómo han de notificarse los incidentes de seguridad autoridades nacionales competentes o al Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) correspondiente, qué han de contener esos informes y qué plazo existe para remitirlos. De esta manera, desde la detección del incidente no pueden transcurrir más de 24 horas para comunicárselo tanto a las autoridades competentes como a los usuarios afectados.
Asimismo, la directiva refuerza las medidas de supervisión por parte de las autoridades nacionales, que habrán de realizar auditorías periódicas, inspecciones in situ, supervisiones externas, etc. En esta línea, NIS 2.0, la directiva otorga el derecho a estas autoridades a imponer multas de hasta 10 millones de euros o el 2% de la facturación mundial anual de la compañía (el que sea más alto) por las infracciones más graves.
Es importante destacar también la atención prestada al fortalecimiento de las políticas comunes para compartir información sensible relacionada con amenazas. Ese refuerzo de la cooperación se antoja crítico, trascendiendo el mero intercambio de información sobre ciberseguridad y estableciendo una red europea para incidentes masivos de ciberseguridad integrada por las autoridades nacionales competentes.
Esta propuestas NIS 2.0 aún está sujeta a negociaciones en el seno del Consejo de la UE y del Parlamento europeo. Además, una vez aprobada la versión definitiva –que no se espera hasta finales de año-, los Estados miembros aún contarán con 18 meses para transponer la directiva a la legislación nacional.
Publicidad
Lo + visto
- 01 Los celadores del hospital Gregorio Marañón denuncian amenazas por negarse a hacer tareas que no les competen
- 02 Jiménez, Terradillos y otras miserias de la manipulación mediática
- 03 Sanidad propone disolver Muface e integrar a sus afiliados en el sistema de salud pública
- 04 El Gran Wyoming da en la diana con su reflexión sobre la mentira y la manipulación: "Todos los bulos van en la misma dirección"
- 05 La reflexión del tuitero Bender sobre las dudas y los avatares del cambio a Bluesky: "Al final compensa"
- 06 El sublime hilo de un tuitero haciendo las piernas de Abascal más largas con cada 'me gusta': "Llorando de la risa con esta chorrada"
- 07 Votar a lo tonto
- 08 "¿Se te está pasando el arroz?": el distópico mensaje que ha aparecido en las marquesinas madrileñas para formar familias numerosas
- 09 Raquel Martínez lidera la lista de la dirección a las primarias de Podemos tras la renuncia de Martina Velarde
- 10 El PSOE amplía su ventaja sobre el PP tras la DANA, mientras que el 'caso Errejón' no pasa factura a Sumar, según el CIS