El Parlamento aprobó nuevas para reforzar la ciberseguridad de la UE en áreas clave
ALMERÍA HOY / 14·04·2023
En un mundo cada vez más digitalizado, sobre todo a raíz de la pandemia de Covid-19, es fundamental garantizar la protección frente a las amenazas en la red.
La Comisión estima que los costes vinculados a la ciberdelincuencia en el mundo alcanzaron en 2020 los 5,5 billones de euros. El Parlamento actualizó en noviembre de 2022 la legislación europea para reforzar las inversiones destinadas a la ciberseguridad de servicios esenciales e infraestructuras críticas y aprobó unas leyes comunitarias más estrictas. El día 22 del mismo mes, el Parlamento Europeo dio su visto bueno final a las normas que mejoran la protección de las infraestructuras esenciales de la UE, incluidas las digitales. La legislación endurece los requisitos para evaluar los riesgos e informar de problemas por parte de los proveedores de servicios considerados críticos en 11 sectores esenciales.
Obligaciones de ciberseguridad más estrictas: la directiva NIS2
La directiva sobre seguridad de las redes y sistemas de información (NIS2) introduce nuevas normas para avanzar hacia un nivel comunitario de ciberseguridad más alto, tanto para las empresas como para los países europeos. Además, refuerza los requisitos de ciberseguridad para las entidades medianas y grandes que operan y prestan servicios en sectores clave.
Se trata de una actualización de la Directiva SRI de 2016, y su objetivo es mejorar la claridad y la aplicación, así como abordar la rápida evolución en este ámbito. Abarca más sectores y actividades que antes, racionaliza las obligaciones de información y aborda la seguridad de la cadena de suministro.
Tras su aprobación por el Parlamento el 10 de noviembre, el Consejo tendrá que dar la luz verde final a las normas y, posteriormente, los Estados miembros tendrán 21 meses para aplicarla.
Inclusión de más sectores
El nuevo texto legislativo amplía el alcance de los sectores y actividades fundamentales para la economía y la sociedad e incluye la energía, el transporte, la banca, la salud, la infraestructura digital, la administración pública y el espacio. No abarca la seguridad nacional y pública, las fuerzas del orden ni el poder judicial. La ley se aplica a la administración pública a nivel central y regional, pero no a los parlamentos ni a los bancos centrales.
Las normas obligan a más entidades y sectores a adoptar medidas de gestión de riesgos de ciberseguridad, como los proveedores de servicios públicos de comunicaciones electrónicas, los operadores de redes sociales, los fabricantes de productos críticos (incluidos los dispositivos médicos) y los servicios postales y de mensajería.
Obligaciones más estrictas para los países La ley establece obligaciones más estrictas en materia de ciberseguridad para los países de la UE en lo que respecta a la supervisión. Mejora el cumplimiento de esas obligaciones y armoniza las sanciones entre los Estados miembros. Además, busca mejorar la cooperación entre los países de la UE, incluso en los incidentes a gran escala, bajo el paraguas de la Agencia de Ciberseguridad de la UE (ENISA).
Proteger el sistema financiero de la UE - DORA
Dado que el sector financiero depende cada vez más de los programas informáticos y los procesos digitales, también necesita una mayor protección. El Reglamento sobre resiliencia operativa digital garantizará que el sector financiero de la UE sea más resistente a las perturbaciones operativas graves y a los ciberataques. El Parlamento dio su aprobación final a la legislación, previamente acordada con el Consejo el 10 de noviembre.
Las normas introducen y armonizan los requisitos de resistencia operativa digital para el sector de los servicios financieros de la UE y obligan a las empresas a asegurarse de que pueden resistir, responder y recuperarse de todo tipo de perturbaciones y amenazas relacionadas con las tecnologías de la información y la comunicación (TIC).
Las nuevas reglas se aplican a todas las empresas que prestan servicios financieros, como los bancos, los proveedores de pagos, los proveedores de dinero electrónico, las empresas de inversión y los proveedores de servicios de criptoactivos, así como a los proveedores de servicios críticos de TIC a terceros.
La Comisión estima que los costes vinculados a la ciberdelincuencia en el mundo alcanzaron en 2020 los 5,5 billones de euros. El Parlamento actualizó en noviembre de 2022 la legislación europea para reforzar las inversiones destinadas a la ciberseguridad de servicios esenciales e infraestructuras críticas y aprobó unas leyes comunitarias más estrictas. El día 22 del mismo mes, el Parlamento Europeo dio su visto bueno final a las normas que mejoran la protección de las infraestructuras esenciales de la UE, incluidas las digitales. La legislación endurece los requisitos para evaluar los riesgos e informar de problemas por parte de los proveedores de servicios considerados críticos en 11 sectores esenciales.
Obligaciones de ciberseguridad más estrictas: la directiva NIS2
La directiva sobre seguridad de las redes y sistemas de información (NIS2) introduce nuevas normas para avanzar hacia un nivel comunitario de ciberseguridad más alto, tanto para las empresas como para los países europeos. Además, refuerza los requisitos de ciberseguridad para las entidades medianas y grandes que operan y prestan servicios en sectores clave.
Se trata de una actualización de la Directiva SRI de 2016, y su objetivo es mejorar la claridad y la aplicación, así como abordar la rápida evolución en este ámbito. Abarca más sectores y actividades que antes, racionaliza las obligaciones de información y aborda la seguridad de la cadena de suministro.
Tras su aprobación por el Parlamento el 10 de noviembre, el Consejo tendrá que dar la luz verde final a las normas y, posteriormente, los Estados miembros tendrán 21 meses para aplicarla.
Inclusión de más sectores
El nuevo texto legislativo amplía el alcance de los sectores y actividades fundamentales para la economía y la sociedad e incluye la energía, el transporte, la banca, la salud, la infraestructura digital, la administración pública y el espacio. No abarca la seguridad nacional y pública, las fuerzas del orden ni el poder judicial. La ley se aplica a la administración pública a nivel central y regional, pero no a los parlamentos ni a los bancos centrales.
Las normas obligan a más entidades y sectores a adoptar medidas de gestión de riesgos de ciberseguridad, como los proveedores de servicios públicos de comunicaciones electrónicas, los operadores de redes sociales, los fabricantes de productos críticos (incluidos los dispositivos médicos) y los servicios postales y de mensajería.
Obligaciones más estrictas para los países La ley establece obligaciones más estrictas en materia de ciberseguridad para los países de la UE en lo que respecta a la supervisión. Mejora el cumplimiento de esas obligaciones y armoniza las sanciones entre los Estados miembros. Además, busca mejorar la cooperación entre los países de la UE, incluso en los incidentes a gran escala, bajo el paraguas de la Agencia de Ciberseguridad de la UE (ENISA).
Proteger el sistema financiero de la UE - DORA
Dado que el sector financiero depende cada vez más de los programas informáticos y los procesos digitales, también necesita una mayor protección. El Reglamento sobre resiliencia operativa digital garantizará que el sector financiero de la UE sea más resistente a las perturbaciones operativas graves y a los ciberataques. El Parlamento dio su aprobación final a la legislación, previamente acordada con el Consejo el 10 de noviembre.
Las normas introducen y armonizan los requisitos de resistencia operativa digital para el sector de los servicios financieros de la UE y obligan a las empresas a asegurarse de que pueden resistir, responder y recuperarse de todo tipo de perturbaciones y amenazas relacionadas con las tecnologías de la información y la comunicación (TIC).
Las nuevas reglas se aplican a todas las empresas que prestan servicios financieros, como los bancos, los proveedores de pagos, los proveedores de dinero electrónico, las empresas de inversión y los proveedores de servicios de criptoactivos, así como a los proveedores de servicios críticos de TIC a terceros.
