La CE se felicita por el acuerdo político alcanzado sobre nuevas normas en materia de ciberseguridad de las redes y sistemas informáticos

Las vigentes  normas sobre seguridad de las redes y sistemas de información  (Directiva SRI), primera normativa de ámbito europeo sobre ciberseguridad, allanaron el camino para un cambio significativo en la mentalidad, el enfoque institucional y el planteamiento regulador en materia de ciberseguridad de muchos Estados miembros. Pese a sus notables logros y sus efectos positivos, era preciso actualizarlas dado el creciente grado de digitalización e interconexión de nuestra sociedad y el auge en todo el mundo de las actividades cibernéticas malintencionadas.

Ante esta creciente exposición de Europa a las ciberamenazas, la  Directiva SRI 2  contempla ahora un número mayor de sectores fundamentales para la economía y la sociedad: los proveedores de servicios públicos de comunicaciones electrónicas, los servicios digitales, la gestión de residuos y aguas residuales, la fabricación de productos esenciales, los servicios postales y de mensajería y las administraciones públicas tanto centrales como autonómicas y regionales. Además, y ante las crecientes amenazas para su seguridad surgidas durante la pandemia de COVID-19, se contempla de manera más general el sector sanitario, al incluirse, por ejemplo, a los fabricantes de productos del sector. Ampliar el ámbito de aplicación de las nuevas normas, obligando de hecho a más entidades y sectores a tomar medidas de gestión del riesgo para la ciberseguridad, contribuirá a aumentar el nivel de ciberseguridad a medio y largo plazo en Europa.

Por otra parte, la Directiva SRI 2 refuerza los requisitos sobre ciberseguridad impuestos a las empresas, contempla la seguridad de las cadenas de suministro y las relaciones con los proveedores e introduce la rendición de cuentas de los directivos en caso de incumplimiento de las obligaciones en materia de ciberseguridad. La Directiva simplifica las obligaciones de notificación, estipula medidas de supervisión más estrictas para las autoridades nacionales, junto con requisitos de ejecución más rigurosos, y pretende armonizar los regímenes de sanciones de los Estados miembros. La nueva normativa contribuirá a aumentar el intercambio de información y la cooperación en el ámbito de la gestión tanto nacional como europea de las cibercrisis.

Próximas etapas

El acuerdo político alcanzado por el Parlamento Europeo y el Consejo queda ahora supeditado a la aprobación formal de los dos colegisladores. Una vez publicada en el Diario Oficial, la Directiva entrará en vigor 20 días después, tras lo cual los Estados miembros deberán incorporar en su Derecho nacional las nuevas disposiciones. Los Estados miembros dispondrán de 21 meses para transponer la Directiva.

Antecedentes

La ciberseguridad es una de las principales prioridades de la Comisión y la piedra angular de una Europa digital y conectada.

La Directiva SRI, en vigor desde el 2016, es la primera ley en materia de ciberseguridad aplicable en toda la UE y ha contribuido a un alto nivel común de seguridad de las redes y sistemas de información en el conjunto de la Unión. Como parte de su objetivo político clave de adaptar Europa a la era digital, la Comisión propuso revisarla en diciembre de 2020. El  Reglamento sobre Ciberseguridad , en vigor desde 2019, dotó a la UE de un marco de certificación de la ciberseguridad de los productos, procesos y servicios, y reforzó el mandato de la Agencia de la Unión Europea para la Ciberseguridad (ENISA).

Fuente original de la noticia