Los legisladores de la UE han acordado introducir normas de ciberseguridad más estrictas en respuesta a la creciente digitalización y al aumento de la actividad cibernética maliciosa a nivel mundial.

The new measures, first proposed by the European Commission at the end of 2020, look to boost the cyber resilience of entities across range of sectors deemed critical for the economy and society.

These include the healthcare sector and medical devices, energy grids, digital services, waste management, critical product manufacturing and public administration.

La nueva normativa amplía el ámbito de aplicación de la actual Directiva de Seguridad de las Redes y de la Información (SRI), que preparó el camino para un cambio «significativo» en el enfoque institucional y normativo de la ciberseguridad en muchos países de la UE, según la Comisión Europea.

La Directiva NIS2 pretende ahora aumentar los requisitos de ciberseguridad impuestos a las empresas con nuevas normas y reglas de información.

Incluye la responsabilidad de la alta dirección por cualquier incumplimiento de las obligaciones de ciberseguridad, así como medidas para proteger las cadenas de suministro y las relaciones con los proveedores.

El año pasado, la Comisión Europea propuso una nueva Unidad Cibernética Conjunta para reforzar la cooperación entre los organismos de la UE y las autoridades nacionales responsables de prevenir, disuadir y responder a los ciberataques. La propuesta llegó semanas después de que el ataque de ransomware al HSE y varios ataques de alto perfil en los Estados Unidos .

Una de sus principales responsabilidades sería la ejecución del plan de respuesta a incidentes y crisis de ciberseguridad de la UE, basado en los planes nacionales propuestos en la NIS2.

La Comisaria de Competencia de la UE, Margrethe Vestager, dijo que en los últimos meses se han puesto en marcha una serie de «bloques de construcción» para la transformación digital, como la Ley de Mercados Digitales y el Ley de Servicios Digitales .

«Se trata de otro importante avance de nuestra estrategia digital europea, esta vez para garantizar que los ciudadanos y las empresas estén protegidos y confíen en los servicios esenciales», dijo Vestager.

La Directiva NIS2 está ahora sujeta a aprobación formal tras el acuerdo alcanzado el pasado viernes (13 de mayo) entre el Parlamento Europeo y los Estados miembros de la UE.

A propósito de las propuestas de la UE, Trevor Dearing, director de infraestructuras críticas de la empresa de ciberseguridad Illumio para la región EMEA, señaló las ventajas de responsabilizar a la alta dirección de los esfuerzos de ciberseguridad.

«Hacer responsable a cada organización individual debería fomentar un cumplimiento más estricto de la normativa, debido a las consiguientes multas y daños a la reputación por no hacerlo», dijo Dearing.

Esta opinión fue compartida por el director general de Safe Security, Saket Modi, quien dijo que los equipos de gestión y de seguridad tendrán que reconocer que la ciberseguridad «es ahora una discusión de negocios, no sólo una discusión técnica».

10 cosas que necesitas saber directamente en tu bandeja de entrada cada día de la semana. Inscríbase en el Resumen diario El resumen de Silicon Republic de las noticias esenciales de ciencia y tecnología.

La comisaria de Competencia de la UE, Margrethe Vestager, en 2018. Imagen: Diarmuid Greene/Cumbre Web vía Flickr ( CC por 2.0 )