Aprobado el borrador de la primera ley europea de seguridad cibernética

Los Eurodiputados de Interior han llegado a un acuerdo sobre la primera ley europea de seguridad cibernética (directiva NIS), que deberá ser aprobada por el Pleno de la Eurocámara y por el Consejo antes de su entrada en vigor.

En ella se expone que las empresas dedicadas a servicios básicos como la energía, el transporte, la banca y la salud, o servicios digitales tales como los motores de búsqueda y la nube donde almacenamos datos, deberán adoptar medidas para mejorar su capacidad de resistencia ante los ataques cibernéticos.

La nueva directiva comunitaria busca lograr un mayor nivel de seguridad común de las redes y sistemas de información en toda la Unión Europea, y tiene el objetivo de acabar con la fragmentación actual de los 28 sistemas nacionales de seguridad cibernética.

En ese sentido, se elaborará una lista de aquellos sectores o empresas de servicios críticos que deberán tomar medidas especiales para poder resistir futuros ataques cibernéticos, y tendrán la obligación de informar a las autoridades nacionales sobre eventuales violaciones de seguridad graves recibidas.

Asimismo, se indica que los Estados Miembros de la UE tendrán que identificar aquellos “operadores de servicios esenciales” en cada uno de los campos mencionados utilizando los mismos criterios: si el servicio es fundamental para la sociedad y la economía, si depende de otros sistemas de redes y de información o si un incidente podría tener efectos perjudiciales significativos en la prestación de servicios o en la seguridad pública.

Además, se establece que algunos proveedores de servicios digitales como es el caso de las tiendas online, los motores de búsqueda y las nubes de almacenamiento de datos, también tendrán que tomar medidas para garantizar la seguridad de su infraestructura y estarán obligados a denunciar incidentes graves a las autoridades nacionales.

Eso sí, conviene precisar que las pymes digitales quedarán excluidas de la directiva NIS y no tendrán que cumplirla.

El borrador de la ley también prevé un “grupo de cooperación” estratégica dedicado al intercambio de información y mejores prácticas, a elaborar directrices y ayudar a los países a aumentar su capacidad en seguridad cibernética, en el que cada Estado Miembro deberá adoptar su propia estrategia de seguridad cibernética nacional.

Igualmente, cada Estado Miembro de la UE también tendrá que establecer una “red de Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT)”, para manejar incidentes y riesgos, discutir problemas de seguridad transfronterizos e identificar posibles respuestas coordinadas.

Por último, indicar que el proyecto de Directiva NIS deberá ser ahora revisado por los juristas lingüistas antes de ser aprobado por el Consejo y el Pleno del Parlamento, y si finalmente entra en vigor, los países de la UE tendrán 21 meses para transponer la directiva a sus legislaciones nacionales y seis meses adicionales para identificar a los operadores de los servicios esenciales.