La Comisión ha adoptado las primeras normas de ejecución sobre ciberseguridad de las entidades y redes críticas en el marco de la Directiva sobre medidas para garantizar un elevado nivel común de ciberseguridad en toda la Unión ( Directiva NIS2 ). Este acto de ejecución detalla las medidas de gestión de riesgos de ciberseguridad, así como los casos en los que un incidente debe considerarse significativo y las empresas que proporcionan infraestructuras y servicios digitales deben notificarlo a las autoridades nacionales. Se trata de otro paso importante para impulsar la ciberresiliencia de la infraestructura digital crítica de Europa.
El reglamento de aplicación adoptado hoy se aplicará a categorías específicas de empresas que prestan servicios digitales, como proveedores de servicios de computación en la nube, proveedores de servicios de centros de datos, mercados en línea, motores de búsqueda en línea y plataformas de redes sociales, por nombrar algunos. Para cada categoría de proveedores de servicios, el acto de aplicación también especifica cuándo un incidente se considera significativo.
La adopción del reglamento de aplicación coincide con la fecha límite para que los Estados miembros transpongan la Directiva NIS2 a su legislación nacional. A partir de hoy, 18 de octubre de 2024, todos los Estados miembros deberán aplicar las medidas necesarias para cumplir las normas de ciberseguridad NIS2, incluidas las medidas de supervisión y ejecución.
Próximos pasos
El reglamento de aplicación se publicará en el Diario Oficial oportunamente y entrará en vigor veinte días después.
Antececentes
La primera ley de la UE sobre ciberseguridad, la Directiva NIS, entró en vigor en 2016 y contribuyó a lograr un nivel común de seguridad de las redes y los sistemas de información en toda la UE. Como parte de su objetivo político clave de adaptar Europa a la era digital, la Comisión propuso la revisión de la Directiva NIS en diciembre de 2020. Tras su entrada en vigor en enero de 2023, los Estados miembros tenían que transponer la Directiva NIS2 a su legislación nacional antes del 17 de octubre de 2024.
La Directiva NIS2 tiene por objeto garantizar un alto nivel de ciberseguridad en toda la Unión. Abarca a las entidades que operan en sectores críticos para la economía y la sociedad, incluidos los proveedores de servicios públicos de comunicaciones electrónicas, la gestión de servicios de TIC, los servicios digitales, la gestión de aguas residuales y residuos, el espacio, la salud, la energía, el transporte, la fabricación de productos críticos, los servicios postales y de mensajería y la administración pública.
La Directiva refuerza los requisitos de seguridad impuestos a las empresas y aborda la seguridad de las cadenas de suministro y las relaciones con los proveedores. Agiliza las obligaciones de información, introduce medidas de supervisión más estrictas para las autoridades nacionales, así como requisitos de cumplimiento más estrictos, y tiene por objeto armonizar los regímenes de sanciones en los Estados miembros. Contribuirá a aumentar el intercambio de información y la cooperación en materia de gestión de crisis cibernéticas a nivel nacional y de la UE.
Más información:
- Ley de aplicación de la Directiva NIS2
- Ficha informativa sobre la Directiva relativa a las medidas para garantizar un elevado nivel común de ciberseguridad en toda la Unión (NIS2)
- Preguntas y respuestas sobre NIS2: Nueva estrategia de ciberseguridad de la UE y nuevas normas para hacer más resilientes las entidades críticas físicas y digitales
- Directiva sobre medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión (Directiva NIS2)
- Políticas de ciberseguridad de la Comisión
Directiva NIS2 - Reglamento de aplicación de la Comisión C(2024) 7151 (descarga PDF)
Directiva NIS2 - Reglamento de aplicación de la Comisión C(2024) 7151 - ANEXO (descarga PDF)