Rodrigo López Crespo, Abogado del Área Penal y Ciberseguridad de Monereo Meyer Abogados
La conexión a la red es un aspecto crucial de nuestra vida cotidiana. Y es que la transformación digital y la interconexión online ayudan al crecimiento económico de los países y al crecimiento personal de sus ciudadanos, dándonos múltiples facilidades.
Pero, como era de esperar, de cada evolución y oportunidad, surge también un reto. En este caso, nos encontramos con una expansión exponencial de los ciberataques, por lo que se hace imprescindible que todos los países tomen las medidas necesarias para combatir la ciberdelincuencia.
En respuesta a esta necesidad, surge a nivel europeo la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo (más conocida como NIS 2).
Dicha Directiva pretende desarrollar las capacidades en materia de ciberseguridad de toda la Unión, reducir las amenazas para los sistemas de redes y de información de los prestadores de servicios esenciales y/o en sectores fundamentales, y garantizar la continuidad de dichos servicios en caso de incidentes.
Todo ello para conseguir como fin último preservar el correcto funcionamiento del mercado y proteger a sus ciudadanos.
En este sentido, se hace imprescindible determinar a quiénes va dirigida esta Directiva, y en particular, quiénes se consideran prestadores de servicios esenciales y cuáles son los sectores fundamentales.
En particular, cuando hablamos de prestadores de servicios esenciales y de sectores fundamentales nos referimos a los que se encuentran mencionados en los Anexos I y II de la Directiva, y que son -principalmente-: proveedores de redes públicas de comunicaciones, registradores de nombres de dominio, Administraciones Públicas, centros de enseñanza, empresas energéticas, entidades bancarias, empresas de transporte, centros sanitarios, empresas de alimentación y gestoras del agua.
La Directiva da de plazo a los Estados Miembros hasta el próximo 17 de abril de 2025 para elaborar una lista de las entidades esenciales e importantes, así como de las entidades que prestan servicios de registro de nombres de dominio en cada país.
Asimismo, muy al estilo RGPD, con NIS 2 se impone a los Estados Miembros la obligación de velar por que los órganos de dirección de las entidades esenciales e importantes aprueben medidas -técnicas, operativas y de organización- para la gestión de riesgos de ciberseguridad, supervisen su puesta en práctica y respondan por el incumplimiento.
Además, también de una manera similar a lo que establecen las leyes vigentes en materia de privacidad, la Directiva NIS 2 obliga a comunicar las incidencias de ciberseguridad que se sufran, y particularmente, las que sean significativas (graves perturbaciones operativas, afecten a otras personas físicas / jurídicas, causen perjuicios materiales o inmateriales importantes, etc.) sin demora indebida y, en cualquier caso, en el plazo de veinticuatro o setenta y dos horas dependiendo del tipo de incidente y desde que se haya tenido constancia del mismo, analizando la información de que se dispone, evaluando el ataque e informando de sus posibles consecuencias.
Por último, hay que mencionar que se establecen no sólo medidas de supervisión (auditorías, inspecciones etc.) o ejecución por parte de los Estados Miembros a las entidades esenciales, sino que, en caso de incumplimiento, se establecen sanciones que pueden alcanzar los 10 millones de euros.
En nuestra opinión esta Directiva es muy importante, ya que, si bien poco a poco nos vamos todos concienciando sobre los riesgos que corremos en un mundo hiperconectado, no es menos cierto que quedaban -y quedan- muchas cosas por hacer para mejorar nuestra capacidad defensiva y reactiva frente a ciberataques.
Gracias a NIS 2 y a la introducción de nuevos requisitos de seguridad en las organizaciones, se mejora en la ciberseguridad desde el diseño y por defecto, y se promueve a su vez la colaboración público–privada en esta materia, la cual, nos guste o no, nos afecta a todos, no sólo a las organizaciones públicas y grandes empresas.
Aún nos queda esperar un poco para ver cómo se implanta y traspone esta norma en los ordenamientos jurídicos nacionales, pero lo que está claro es que vamos en la dirección correcta.
La entrada NIS 2: importante desarrollo jurídico para avanzar en ciberseguridad se publicó primero en Lawyerpress NEWS.
