Leyendo ahora
Nueva directiva europea SRI 2

Buenas noticias para la ciberseguridad en Europa. El Consejo y el Parlamento Europeo han llegado a un acuerdo preliminar para la nueva Directiva SRI 2 (de Sistemas y Redes de Información, Riesgos e Incidentes).

Esta norma tiene como objetivo actualizar la anterior Directiva SRI (vigente desde agosto del 2017) y reforzar los estados miembros ante el aumento de ciberataques. A continuación, os resumimos lo más destacado de la nueva legislación.

Novedades de la Directiva SRI 2

Estas son las principales modificaciones que incorpora la nueva norma:

Enfocada a los sectores esenciales

Además de proteger las instituciones públicas, la nueva directiva se dirige especialmente a empresas privadas de sectores esenciales como los de la energía, la salud, el transporte, la gestión del agua, las infraestructuras y el financiero. Si bien, sectores como el de la banca llevan décadas aplicando fuertes medidas de seguridad informática, en otros esta necesidad es relativamente reciente.

De hecho, mientras que con la norma actual cada Estado decidía qué entidades entraban en la categoría de sectores esenciales, ahora afectará a todas las entidades o empresas de los sectores afectados que operen o presenten servicios en Europa.

Sin embargo, la norma no se aplicará ni a entidades de defensa y seguridad nacional y pública, ni a las fuerzas del orden, ni tampoco a los parlamentos ni los bancos centrales.

También los proveedores de servicios han visto incrementados sus requerimientos, puesto que la NIS2 refuerza las exigencias en la cadena de subcontratación de servicios.

Evaluación de riesgos y planes de respuesta

Cuando entre en vigor, las instituciones y empresas afectadas estarán obligadas a evaluar con detalle los riesgos de ciberseguridad a los que se exponen, y como consecuencia de ese análisis, elaborar planes de respuesta.

Notificación en caso de ciberataque

Otra de las obligaciones que se actualizarán es la de notificación. En caso de ciberataque deberá ser comunicado en un máximo de 24 horas y hay que presentar un informe completo en un plazo que no sea superior a 72 horas.

Intercambio de experiencias

Otro de los objetivos de la actualización de la legislación actual es reforzar la colaboración entre los estados miembros de la Unión Europea para que los ataques sufridos por unos sirvan para mejorar las defensas de todos. Así, la nueva directiva debe permitir una mejor coordinación de los incidentes de ciberseguridad en territorio europeo.

Actualización obligatoria

Ver también

Las instituciones y empresas que contempla la nueva norma también estarán obligadas, no solo a utilizar las más recientes tecnologías de ciberseguridad, sino a disponer de un plan de actualización periódica del software de seguridad, así como parchear vulnerabilidades e implementar medidas de gestión de riesgos.

Cifrado de extremo a extremo

Otro punto clave de la Directiva SRI 2 es que incide en la necesidad de que la protección sea cifrada de extremo a extremo (E2EE), clave para garantizar un alto nivel de privacidad, siendo compatible con los intereses de seguridad pública esencial y permitiendo la investigación penal.

Sanciones económicas

La norma prevé sanciones económicas de hasta el 2% de la facturación global de la entidad o empresa si no cumple la legislación.

Una norma más estricta para aumentar la seguridad

En definitiva, la nueva Directiva SRI 2 tiene como objetivo establecer normas de seguridad más estrictas que permitan a los estados de la Unión Europea combatir el aumento de ciberataques con mayor eficacia.

Cuando se ratifique el acuerdo alcanzado el pasado 13 de mayo, los estados tienen 21 meses para incorporar las disposiciones de la nueva directiva a cada legislación nacional.

Un proyecto de:

© 2022 CECA.
Todos los derechos reservados.

Ir arriba