NIS 2

La nueva versión del proyecto de directiva conocida como NIS 2 fue aprobada el 28 de octubre por el Comité de Industria del Parlamento Europeo y está prevista que sea sometida a aprobación en las próximas semanas se focaliza en la necesidad de reforzar la importancia de esta regulación como principal legislación horizontal en el ámbito de la ciberseguridad y tiene como objetivo garantizar que la futura legislación sectorial no modifique sus principios fundamentales.

Las principales novedades introducidas con esta nueva versión del proyecto de NIS 2 se podrían resumir en las siguientes:

1. La ampliación del ámbito de aplicación de la nueva Directiva NIS 2, a través de dos vías:

  • La ampliación del concepto entidades esenciales: habiéndose introducido dentro del mismo sectores o actores previamente no previstos en la anterior Directiva NIS, como por ejemplo energía, transportes, banca, infraestructuras de los mercados financieros, sanidad, agua potable, aguas residuales, infraestructura digital, administración pública y sector espacial.
  • La introducción de un nuevo concepto denominado entidades de «sectores importantes»: si bien el Anexo incluyendo la enumeración exhaustiva de las entidades que serán consideradas como pertenecientes a “sectores importantes” aún no ha sido publicado, en la exposición de motivos del texto publicado se avanza que estos sectores incluirán, entre otros: servicios postales y de mensajería, gestión de residuos, fabricación, producción y distribución de sustancias y mezclas químicas, producción, transformación y distribución de alimentos, fabricación y proveedores de servicios digitales.

A pesar de lo anterior, cabe destacar que la normativa nacional de desarrollo de la actual Directiva NIS (esto es, el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información y el Real Decreto 43/2021, de 26 de enero que desarrolla el primer Real Decreto-ley tratados en nuestro blog aquí y aquí), ya prevén su aplicación a la mayoría de las entidades a las que el borrador de Directiva NIS 2 extiende su ámbito de aplicación, por lo que esta modificación tendrá una limitada incidencia a nivel nacional.

2. La introducción de un nuevo foco de interés para la regulación de la ciberseguridad centrado en las asociaciones público-privadas (PPPs por sus siglas en ingles “Public-Private-Partnerships”). La nueva versión de la Directiva NIS 2 plantea la creación de PPPs especializados en ciberseguridad para el desarrollo de las estrategias nacionales en materia de ciberseguridad de los estados miembros (los “EEMM”).

3. Se realza la importancia de armonizar la normativa que regula la prevención, detección y respuesta a las ciberamenazas y ciberataques. Para ello, se impone a la Agencia de la Unión Europea para la Ciberseguridad (ENISA) la responsabilidad de proveer a los EEMM y las autoridades competentes la orientación para que adapten sus estrategias nacionales de ciberseguridad vigentes a los requisitos y obligaciones establecidos en la Directiva.

4. En lo relativo a los nuevos requisitos de seguridad exigidos se incluyen, entre otros, la respuesta a incidentes, la seguridad de la cadena de suministro, el cifrado y la divulgación de vulnerabilidades.

5. Asimismo, la ciberseguridad pasaría a ser responsabilidad de los altos directivos, mientras que, por otro lado, los EEMM podrían identificar a las entidades más pequeñas con un perfil de alto riesgo para la seguridad.

6. Se propone una definición de “riesgo” entendida como el potencial de pérdida o perturbación causado por un incidente, que debe expresarse como una combinación de la magnitud de dicha pérdida o perturbación y la probabilidad de que se produzca dicho incidente.

7. En cuanto materia de sanciones, seguirán siendo los EEMM los encargados de establecer el régimen sancionador aplicable, adoptando todas las medidas necesarias (efectivas, proporcionadas y disuasorias) para su ejecución.

Cabe recordar que, a nivel nacional, las sanciones aplicables a las infracciones en materia de ciberseguridad se regulan en el Real Decreto-ley 12/2018 categorizadas en una escala de gravedad por leves, graves y muy graves. La cuantía de las sanciones partirá desde una amonestación o multa para las muy leves (p. ej. no someterse a una auditoría de seguridad) hasta 1.000.000 euros para las muy graves (p. ej. el incumplimiento reiterado de la obligación de notificar incidentes con efectos perturbadores significativos en el servicio).

Según el Parlamento Europeo la necesidad de esta nueva normativa se fundamenta en la aplicación y desarrollo desarmonizado que se ha producido por parte de los países de la UE, lo que ha fragmentado el mercado único y ha generado niveles insuficientes de ciberseguridad.

El nivel actual de ciber-amenazas es muy elevado, razón por la cual actualizar esta legislación resultaba apremiante y ello conlleva, que la prevención y el cumplimiento normativo no sólo serán esenciales, sino indispensables.

Autores: Mònica Ferrer y Josu Andoni Eguiluz

Autores:

Asociada

27 artículos



monica.ferreralberti@cuatrecasas.com

Prácticas

32 artículos



josuandoni.eguiluz@cuatrecasas.com