Bruselas, 13 may (EFE).- El Consejo y el Parlamento Europeo, colegisladores en la Unión Europea, anunciaron que han logrado un acuerdo para reforzar la normativa comunitaria sobre cibersecuridad, de forma que mejore «la resiliencia y las capacidades de respuesta a incidentes» en la UE tanto en el sector público como privado.
La revisión de la Directiva Redes y Sistemas de Información (NIS), conocida como NIS2, facilitará «una mayor cooperación y gestión de riesgos e incidentes» ya que establecerá las medidas de gestión y las obligaciones de notificación de posibles problemas en sectores como la energía, el transporte, la salud y la infraestructura digital.
«¡Acuerdo en NIS2 esta noche! Garantiza un alto nivel común de ciberseguridad en toda la UE. Estamos protegiendo nuestras economías y nuestras sociedades contra las ciberamenazas. Mejorar la preparación, la resiliencia, proteger nuestra democracia», publicó en Twitter el vicepresidente de la Comisión encargado del área de Seguridad e Interior, Margaritas Schinas.
El acuerdo, que aún deben aprobar los embajadores de los Veintisiete y el pleno de la Eurocámara, establece un marco regulatorio para eliminar las «divergencias en los requisitos de seguridad y en la implementación de medidas (…) en diferentes Estados miembros», informó el Consejo en un comunicado.
La legislación establecerá también sanciones para garantizar el cumplimiento de la normativa y creará formalmente la Red Europea de Organización de Enlace de Crisis Cibernéticas (EU-CYCLONe), con la misión de apuar «la gestión coordinada de incidentes de ciberseguridad a gran escala», agregó el Consejo.
Con la legislación antigua, eran los países de la UE los que determinaban qué entidades entraban en la categoría de servicios esenciales y por tanto estaban sujetas a ciertas obligaciones.
La revisión de la Directiva introduce una regla común que abarca a «todas las entidades medianas y grandes que operen o presten servicios dentro de los sectores cubiertos por la directiva», aunque con «disposiciones adicionales para garantizar la proporcionalidad, un mayor nivel de gestión de riesgos y criterios claros para determinar las entidades cubiertas».
La normativa no se aplicará a las entidades dedicadas a la defensa, la seguridad nacional, la seguridad pública o las fuerzas del orden, así como los Parlamentos y los bancos centrales.
Sí cubrirá, en cambio, a las administraciones públicas de los gobiernos centrales, ya que «suelen ser objeto de ciberataques», precisó el Consejo.
Entre las modificaciones introducidas durante la negociación final entre Parlamento y Consejo respecto a la propuesta original de la Comisión Europea destaca la alineación de las medidas con reglas de otras áreas de actividad, como los servicios financiero o las entidades críticas para «aportar claridad jurídica y garantizar coherencia» entre los diferentes paquetes normativos.
Además, se incluye un mecanismo voluntario de aprendizaje e intercambio de experiencias para fomentar la «confianza mutua» y se simplifican los requisitos de notificación para evitar que se produzca un «exceso de información y se cree una carga excesiva para las entidades cubiertas».