Home Gobierno La UE acuerda una nueva legislación sobre ciberseguridad para las organizaciones de...

La UE acuerda una nueva legislación sobre ciberseguridad para las organizaciones de servicios críticos

La Unión Europea (UE) ha alcanzado un acuerdo político sobre una nueva legislación que impondrá normas comunes de ciberseguridad a las organizaciones de servicios críticos.

La nueva directiva sustituirá a la actual normativa de la UE sobre la seguridad de las redes y los sistemas de información (Directiva NIS), que requiere una actualización debido “al creciente grado de digitalización e interconexión de nuestra sociedad y al aumento de las actividades cibermaliciosas a nivel mundial”.

La Directiva NIS 2 abarcará a las organizaciones medianas y grandes que operan en sectores críticos. Entre ellos se encuentran los proveedores de servicios públicos de comunicaciones electrónicas, servicios digitales, gestión de aguas residuales y residuos, fabricación de productos críticos, servicios postales y de mensajería, asistencia sanitaria y administración pública.

Entre las disposiciones de la nueva legislación se encuentra la de señalar los incidentes de ciberseguridad a las autoridades en un plazo de 24 horas, parchear las vulnerabilidades del software y preparar medidas de gestión de riesgos.

También pretende crear requisitos de aplicación más estrictos y armonizar los regímenes de sanciones entre los Estados miembros. Los operadores de servicios esenciales se enfrentarían a multas de hasta el 2% del volumen de negocios anual en caso de incumplimiento, mientras que para los proveedores de servicios importantes la multa máxima sería del 1,4%.

Las medidas fueron propuestas originalmente por la Comisión de la UE en diciembre de 2020.

El acuerdo político deberá ser aprobado formalmente por los países miembros de la UE y el Parlamento Europeo. Una vez aprobado, los Estados miembros tendrán que incorporar los nuevos requisitos a la legislación nacional en un plazo de 21 meses.