La Network and Information Security (NIS2) mediante una reformulación que aspira a convertirse en la antesala de la gran estrategia de ciberseguridad común de Europa.
De acuerdo a Computer World, Bruselas ha dado un paso en firme hacia la consolidación de uno de los grandes pilares de la ciberseguridad en el Viejo Continente: NIS2. Una directiva de importante calado para el porvenir europeo cuya aprobación definitiva está prevista para el próximo 2023. El Parlamento Europeo ha dado así un lavado de cara a la ya conocida directiva Network and Information Security (NIS1) mediante una reformulación que aspira a convertirse en la antesala de la gran estrategia de ciberseguridad común de Europa. Un marco normativo “clave para que muchos sectores críticos adopten con éxito la transformación digital y aprovechen plenamente los beneficios económicos, sociales y sostenibles de la digitalización” con garantías proteccionistas.
Vea también: Crisis de Ciberseguridad: ¿cómo la enfrentamos?
Y es que NIS2 sienta las bases para “las medidas de gestión de riesgos de ciberseguridad y las obligaciones de información en todos los sectores que entran en su ámbito de aplicación”. Todo ello con un objetivo definido: “fomentar las capacidades de ciberseguridad en toda la Unión, mitigar las amenazas a las redes y sistemas de información utilizados para prestar servicios esenciales en sectores clave y garantizar la continuidad de dichos servicios ante incidentes, contribuyendo así a la seguridad de la Eurozona y al funcionamiento eficaz de su economía y sociedad”.
NIS2: resiliencia en ciberseguridad
La nueva norma, acordada el pasado mes de mayo con los Estados miembro, fue adoptada formalmente por la Eurocámara por 577 votos a favor, 6 en contra y 31 abstenciones; es decir, con una holgada mayoría. Sin embargo, para su completa entrada en vigor es necesario que el Consejo Europeo, ente que aglutina a los gobiernos de los países de la Unión, atraviese otro proceso de votación. El mismo podría dar alas a la imposición de obligaciones más estrictas de ciberseguridad para las empresas y administraciones, especialmente en materia de prevención de riesgos. Además, fija normas comunes de defensa digital y amplía a la energía, el transporte, la banca y la salud la lista de «sectores esenciales» a proteger. De igual forma, recoge diversas obligaciones a la hora de notificar ataques y compartir información con el resto de Estados.
Lo que contempla la resiliencia en Ciberseguridad
En este sentido, NIS2 contempla detalles muy concretos sobre cómo deben las corporaciones y administraciones responder ante incidentes, la gestión de crisis, la prevención de vulnerabilidades, las pruebas ‘cyber’ o la necesidad de usar cifrado de calidad. La legislación será de aplicación tanto para la administración como para las medianas y grandes empresas de ciertos sectores catalogados como «importantes» en el redactado de la norma. Estos ámbitos comprenden, por ejemplo, los servicios postales, la gestión de residuos, las industrias química, farmacéutica y alimentaria, así como la fabricación de maquinaria pesada, vehículos y aparatos digitales.
En este escenario y tras la presentación de la directiva, la comisionaria europea Margarethe Vestager ha instado a los Veintisiete a “avanzar” en la implementación de todas las medidas posibles porque “los que nos atacan no van a esperar a la transposición” de la NIS2. Y es que “habrá defensa europea sin ciberseguridad”, ha concluido.
