La Comisión Europea ha adoptado las primeras normas de ejecución sobre ciberseguridad de las entidades y redes críticas en el marco de la Directiva relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la UE (Directiva SRI 2). Este acto de ejecución detalla las medidas de gestión de riesgos de ciberseguridad, así como los casos en los que un incidente debe considerarse significativo y las empresas que proporcionan infraestructuras y servicios digitales deben notificarlo a las autoridades nacionales. Este es otro paso importante para impulsar la ciberresiliencia de la infraestructura digital crítica de Europa.
El Reglamento de Ejecución se aplicará a categorías específicas de empresas que prestan servicios digitales, como los proveedores de servicios de computación en nube, los proveedores de servicios de centros de datos, los mercados en línea, los motores de búsqueda en línea y las plataformas de redes sociales, por nombrar algunos. Para cada categoría de proveedores de servicios, el acto de ejecución también especifica cuándo un incidente se considera significativo.*
Este paso de la Comisión coincide con el plazo para que los Estados miembros transpongan la Directiva SRI 2 al Derecho nacional. A partir de hoy, 18 de octubre de 2024, todos los Estados miembros deben aplicar las medidas necesarias para cumplir las normas de ciberseguridad de la SRI 2, incluidas las medidas de supervisión y ejecución.
Según ha declarado Margrethe Vestager, vicepresidenta ejecutiva responsable de Una Europa Adaptada a la Era Digital, "la ciberseguridad es uno de los principales pilares para la protección de nuestros ciudadanos y nuestras infraestructuras. En el panorama actual de la ciberseguridad, es de vital importancia reforzar nuestras capacidades, requisitos de seguridad e intercambio rápido de información con normas actualizadas. Insto a los demás Estados miembros a que apliquen estas normas a nivel nacional lo antes posible para garantizar que los servicios esenciales para nuestras sociedades y economías sean ciberseguros".
La primera ley de la UE sobre ciberseguridad, la Directiva SRI, entró en vigor en 2016 y ayudó a alcanzar un nivel común de seguridad de las redes y sistemas de información en toda la UE. Como parte de su objetivo político clave de adaptar Europa a la era digital, la Comisión propuso la revisión de la Directiva SRI en diciembre de 2020. Tras su entrada en vigor en enero de 2023, los Estados miembros debían transponer la Directiva SRI 2 al Derecho nacional a más tardar el 17 de octubre de 2024.
La Directiva SRI 2 tiene por objeto garantizar un alto nivel de ciberseguridad en toda la Unión. Abarca entidades que operan en sectores críticos para la economía y la sociedad, incluidos los proveedores de servicios públicos de comunicaciones electrónicas, la gestión de servicios de TIC, los servicios digitales, la gestión de aguas residuales y residuos, el espacio, la salud, la energía, el transporte, la fabricación de productos críticos, los servicios postales y de mensajería y la administración pública.
La Directiva refuerza los requisitos de seguridad impuestos a las empresas y aborda la seguridad de las cadenas de suministro y las relaciones con los proveedores. Simplifica las obligaciones de información, introduce medidas de supervisión más estrictas para las autoridades nacionales, así como requisitos de ejecución más estrictos, y tiene por objeto armonizar los regímenes de sanciones en todos los Estados miembros. Ayudará a aumentar el intercambio de información y la cooperación en materia de gestión de crisis cibernéticas a escala nacional y de la UE.