Las empresas que satisfacen servicios básicos como la energía, el transporte, la banca y la salud, o servicios digitales tales como los motores de búsqueda y la nube donde almacenamos datos tendrán que tomar medidas para mejorar su capacidad de resistencia a  los ataques cibernéticos, según el borrador de ley aprobado hoy por los  los eurodiputados de la comisión de Mercado Interior.

La nueva directiva para lograr un mayor nivel de seguridad común de las redes y sistemas de información en toda la Unión Europea (conocida como NIS) tiene como objetivo acabar con la fragmentación actual de los 28 sistemas nacionales de seguridad cibernética, elaborando una lista de aquellos sectores o empresas de servicios críticos que deberán tomar medidas especiales para poder resistir futuros ataques cibernéticos. También tendrán la obligación de informar a las autoridades nacionales sobre eventuales violaciones de seguridad graves recibidas.

"El Parlamento ha presionado con fuerza para lograr la identificación armonizada de sectores críticos como la energía,  transporte,  salud o banca, que tendrán que cumplir con las nuevas reglas y notificar incidentes cibernéticos importantes. Los Estados Miembros también tendrán que cooperar más en materia de ciberseguridad, medidas que cobran aún más importancia a la luz de los ataques recientes a la seguridad en Europa", aclaró el portavoz alemán Andreas Schwab (PPE) tras llegar a un acuerdo el mes pasado sobre la directiva de NIS.

Mecanismos de cooperación en toda la UE

Para garantizar un mayor nivel de seguridad en toda la UE y asegurar la confianza entre los Estados miembros de la UE, el borrador de ley prevé un "grupo de cooperación" estratégica dedicado al intercambio de información y mejores prácticas, a elaborar directrices y ayudar a los países a aumentar su capacidad en seguridad cibernética . Cada Estado Miembro deberá adoptar su propia estrategia NIS nacional.

Cada Estado Miembro de la UE también tendrá que establecer una “red de Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT)”, para manejar incidentes y riesgos, discutir problemas de seguridad transfronterizos e identificar posibles respuestas coordinadas. La Agencia Europea de Seguridad de Redes y de la Información (ENISA) también jugará un papel clave en la aplicación de la directiva.

La necesidad de respetar la protección de datos personales es un tema abordado reiteradamente en el borrador de ley.

Próximos pasos

El proyecto de Directiva NIS  deberá ser ahora revisado por los juristas lingüistas antes de ser aprobado por el Consejo y el Pleno del Parlamento. A continuación, se publicará en el Diario Oficial de la UE y entrará en vigor a los veinte días después de su publicación. Los Estados Miembros tendrán todavía 21 meses para transponer la directiva a sus legislaciones nacionales y seis meses adicionales para identificar a los operadores de los servicios esenciales.