El panorama digital está cada vez más interconectado y, por tanto, es más vulnerable. Por eso, la Unión Europea está sentando las bases de un marco de ciberseguridad sin precedentes para proteger a sus ciudadanos, empresas y gobiernos.
La UE moderniza su legislación para garantizar un alto nivel de ciberseguridad y resiliencia
Con la digitalización del mercado interior acelerada por la crisis de la COVID-19 y el constante aumento de los ciberataques, la UE está modernizando su legislación para garantizar un alto nivel común de ciberseguridad y resiliencia en todo el bloque.
La SR1 ha demostrado tener limitaciones y no se ha aprovechado todo su potencial
SRI 2: ciberresiliencia
La pieza fundamental de esta estrategia es la propuesta de directiva del Parlamento Europeo y del Consejo, conocida como NIS2 o Directiva SRI 2, que deroga y sustituye a su predecesora, la Directiva (UE) 2016/1148 (SRI 1).
Aunque la SRI 1 sentó las bases y catalizó un cambio de mentalidad, ha demostrado limitaciones en su implementación y no ha logrado aprovechar todo su potencial. Las diferencias nacionales en su aplicación han llevado a la fragmentación del mercado interior y han afectado a la resiliencia transfronteriza.
Armonización
La Directiva SRI 2 busca abordar estas deficiencias mediante un enfoque más amplio y armonizado. Sus objetivos clave son, en primer lugar, modernizar el marco jurídico vigente, teniendo en cuenta el aumento de la digitalización y la evolución del panorama de amenazas.
El segundo objetivo busca garantizar que las entidades clave adopten medidas de ciberseguridad y notifiquen incidentes, ampliando la cobertura a un segmento más representativo de las economías y sociedades de la UE.
Además, se pretende aumentar el nivel de armonización de los requisitos de seguridad y notificación para facilitar el cumplimiento de las entidades que prestan servicios transfronterizos.
Cambios sistémicos
Esta propuesta introduce cambios sistémicos y estructurales, con los que se amplía el ámbito de aplicación a más sectores críticos además de los ya cubiertos por SRI 1 (energía, transporte, asistencia sanitaria, finanzas, gestión del agua e infraestructura digital).
Ahora, se incluyen también proveedores de comunicaciones electrónicas públicas, servicios digitales como plataformas sociales, gestión de residuos y aguas residuales, fabricación de productos críticos, servicios postales y de mensajería, y la administración pública central y regional, así como el sector espacial.
Las entidades afectadas se clasificarán en "esenciales" e "importantes", con regímenes de supervisión diferenciados pero con los mismos requisitos de gestión de riesgos y obligaciones de notificación.
Desafíos y oportunidades
Uno de los principales desafíos identificados es la escasez de profesionales de ciberseguridad en la UE, con un déficit estimado de entre 260.000 y 500.000 en 2022. Esto subraya la necesidad de fortalecer las capacidades y la concienciación general sobre seguridad digital.
A pesar de los costes iniciales de cumplimiento para las empresas (se estima un aumento de hasta el 22% en el gasto en seguridad informática en los primeros años) y para las autoridades nacionales (un aumento del 20-30% en recursos), la propuesta se considera eficiente y beneficiosa. Se espera que fomente capacidades de ciberseguridad más sólidas, reduzca el número y la gravedad de los incidentes, y mejore la visión general y la interacción con las empresas clave.
Además, la UE está invirtiendo de manera sin precedentes en la transición digital, cuadruplicando los niveles anteriores de inversión para los próximos siete años. Existen nuevas oportunidades de financiación para soluciones innovadoras en ciberseguridad, especialmente para pymes, con un presupuesto total de 90,55 millones de euros para convocatorias que cerrarán en noviembre.
La Comisión revisará periódicamente el funcionamiento de la Directiva SRI 2, evaluando su impacto y la importancia de los sectores y entidades cubiertas, con el primer informe previsto 54 meses después de su entrada en vigor.
En definitiva, la Unión Europea está construyendo un fuerte entramado legislativo y operativo para proteger su ecosistema digital, para promover la resiliencia y la cooperación en un ciberespacio global cada vez más desafiante.
