La directiva NIS 2 y sus modificaciones
El pasado 27 de diciembre, el Diario Oficial de la Unión Europea, publicó la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022, con el fin de garantizar nuevas medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión.
La Directiva NIS 2 deroga la anterior versión para entrar en vigencia luego de 20 días de ser publicada. Es importante destacar que los Estados miembros cuentan como plazo máximo para adecuarse hasta el 17 de octubre de 2024.
La misma plantea las siguientes modificaciones:
- Pautas para la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior.
- Obliga a los Estados miembros a adoptar estrategias nacionales de ciberseguridad.
- Obliga a designar autoridades competentes, de gestión de crisis de ciberseguridad, puntos de contacto únicos sobre ciberseguridad y equipos de respuesta a ciberincidentes.
- Los países de la Unión Europea deberán establecer una serie de medidas para gestionar los riesgos cibernéticos.
- Obliga a notificar incidentes de ciberseguridad.
- Fija normas y obligaciones relativas al intercambio de información sobre ciberseguridad, supervisión y ejecución para los Estados miembros.
- Establece una norma sobre el tamaño máximo de las entidades que cumplen o no con los criterios para ser consideradas como operadores de servicios esenciales. Tarea que antes era ejecutada por los estados miembros de la UE. De hecho, decreta un mayor nivel de gestión de riesgos y criterios específicos para determinar qué entidades están cubiertas.
- Actualmente la NIS 2 tiene la potestad de añadir nuevos sectores críticos. Es el caso del subsector hidrógeno, de los servicios postales y de mensajería o de la gestión de residuos.
¿Cuál es el objetivo principal? → eliminar las diferencias en los requisitos de ciberseguridad y de aplicación de las medidas entre los Estados de la Unión Europea. No es un dato menor que su publicación se produzca el mismo día que la conocida como Directiva de Ciberresiliencia.