Las recientes amenazas a la infraestructura crítica de la UE han intentado socavar nuestra seguridad colectiva. Ya en 2020, la Comisión había propuesto una mejora significativa de las normas de la UE sobre la resiliencia de las entidades críticas y la seguridad de las redes y los sistemas de información.
Las 2 Directivas que entran en vigor son:
- Directiva relativa a medidas destinadas a un elevado nivel común de ciberseguridad en toda la Unión (Directiva NIS 2)
- Directiva sobre la resiliencia de las entidades críticas (Directiva CER)
La Directiva NIS 2 garantizará una Europa más segura y fuerte al ampliar significativamente los sectores y el tipo de entidades críticas que entran en su ámbito de aplicación. Estos incluyen proveedores de redes y servicios públicos de comunicaciones electrónicas, servicios de centros de datos, gestión de aguas residuales y residuos, fabricación de productos críticos, servicios postales y de mensajería y entidades de la administración pública, así como el sector de la salud en general.
Además, reforzará los requisitos de gestión de riesgos de ciberseguridad que las empresas están obligadas a cumplir, así como racionalizará las obligaciones de notificación de incidentes con disposiciones más precisas sobre informes, contenido y cronograma. La Directiva NIS 2 sustituye a las normas sobre seguridad de las redes y sistemas de información , la primera legislación a escala de la UE sobre ciberseguridad.
Frente a un panorama de riesgos cada vez más complejo, la nueva Directiva CER sustituye a la Directiva Europea de Infraestructuras Críticas de 2008. Las nuevas reglas fortalecerán la resiliencia de la infraestructura crítica a una serie de amenazas, incluidos peligros naturales, ataques terroristas, amenazas internas o sabotaje. Se cubrirán 11 sectores: energía, transporte, banca, infraestructuras de mercados financieros, salud, agua potable, aguas residuales, infraestructura digital, administración pública, espacio y alimentación. Los Estados miembros deberán adoptar una estrategia nacional y llevar a cabo evaluaciones periódicas de riesgos para identificar las entidades que se consideran críticas o vitales para la sociedad y la economía.
Los Estados miembros disponen de 21 meses para transponer ambas Directivas al Derecho nacional. Durante este período, los Estados miembros adoptarán y publicarán las medidas necesarias para su cumplimiento.
En diciembre de 2022, el Consejo adoptó una Recomendación sobre un enfoque de coordinación a escala de la Unión para reforzar la resiliencia de las infraestructuras críticas, en la que se invita a los Estados miembros a acelerar los trabajos preparatorios para la transposición y aplicación de la SRI 2 y de la Directiva sobre la resiliencia de las entidades críticas (CER).