Publicada Directiva UE 2016/1148: medidas para garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la UE

 

Considerando la UE que:

  • Las redes y sistemas de información desempeñan un papel crucial en la sociedad. Su fiabilidad y seguridad son esenciales para las actividades económicas y sociales, y en particular para el funcionamiento del mercado interior.
  • La magnitud, la frecuencia y los efectos de los incidentes de seguridad se están incrementando y representan una grave amenaza para el funcionamiento de las redes y sistemas de información. Esos sistemas pueden convertirse además en objetivo de acciones nocivas deliberadas destinadas a perjudicar o interrumpir su funcionamiento. Este tipo de incidentes puede interrumpir las actividades económicas, generar considerables pérdidas financieras, menoscabar la confianza del usuario y causar grandes daños a la economía de la UE.

Y con este punto de partida, y 73 consideraciones más, el 19 de julio de 2016 se ha publicado la Directiva UE  2016/1148 del parlamento europeo y del Consejo de 6 de julio de 2016 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.

La directiva establece estándares comunes de seguridad, incrementando también la cooperación entre los países miembros. La principal medida de la nueva norma consiste en establecer obligaciones para las compañías de sectores esenciales como la energía, el transporte, los servicios sanitarios, la banca y el suministro de agua, así como para los grandes proveedores de servicios digitales en el ámbito del comercio online, los motores de búsqueda y los servicios en la nube. Estas empresas deberán adoptar medidas para garantizar la seguridad de su infraestructura e informar a las autoridades estatales en caso de incidentes importantes. Las compañías pequeñas no están obligadas a adoptar estas medidas.

Para tal fin:

  • Establece obligaciones para todos los Estados miembros de adoptar una estrategia nacional de seguridad de las redes y sistemas de información;
  • Crea un Grupo de cooperación para apoyar y facilitar la cooperación estratégica y el intercambio de información entre los Estados miembros y desarrollar la confianza y seguridad entre ellos;
  • Crea una red de equipos de respuesta a incidentes de seguridad informática («red de CSIRT», por sus siglas en inglés de «computer security incident response teams») con el fin de contribuir al desarrollo de la confianza y seguridad entre los Estados miembros y promover una cooperación operativa rápida y eficaz;
  • Establece requisitos en materia de seguridad y notificación para los operadores de servicios esenciales y para los proveedores de servicios digitales;
  • Establece obligaciones para que los Estados miembros designen autoridades nacionales competentes, puntos de contacto únicos y CSIRT con funciones relacionadas con la seguridad de las redes y sistemas de información.

Esta nueva Directiva entra en vigor ya, en agosto de 2016, y los Estados miembros tendrán 21 meses para transponerla y 6 meses más para identificar a los operadores de servicios esenciales. Otra tarea más pendiente para cuando tengamos gobierno…

Anuncios