El pasado 6 de Julio del presente, el Pleno del Parlamento Europeo adoptó la Directiva sobre Seguridad de Redes y Sistemas de Información, mejor conocida por sus siglas en inglés como Directiva NIS. El objetivo principal de la Directiva es fomentar un alto nivel común de seguridad de redes y sistemas de información dentro de los países miembros de la UE, por medio de la mejora de las capacidades de seguridad cibernética a nivel nacional; incrementar la cooperación a nivel regional; crear reglas comunes para la gestión y manejo del riesgo y establecer obligaciones de notificación de incidentes para los operadores de servicios esenciales y proveedores de servicios digitales.
La Directiva NIS será aplicable para los siguientes sectores: (i) Energía: electricidad, petróleo y gas; (ii) Transporte: aéreo, ferroviario, marítimo y terrestre; (iii) Bancario: instituciones de crédito; (iv) Infraestructura del mercado financiero: centros de negociación y contrapartes centrales; (v) Salud: establecimientos de salud; (vi) Agua: provisión y distribución de agua potable; (vii) Infraestructura Digital: puntos de intercambio de Internet, proveedores del servicio de sistemas de nombres de dominio y registradores de nombres de dominio de primer nivel.
Entre las disposiciones más relevantes de la Directiva NIS se encuentran:
1. La creación de un grupo de cooperación conformado por representantes de los Estados Miembros, la Comisión Europea y ENISA, dividido a su vez en cuatro áreas principales de trabajo: (i) Planeación; (ii) Gobierno; (iii) Compartir información y mejorar las practicas acerca del manejo de riesgos, incidentes, incrementar la concientización y capacitación; y (iv) Reportar cada año y medio respecto a las experiencias y avances obtenidos a través de la cooperación entres sus miembros.
2. Fomentar e incrementar la cooperación entre los Centros de Respuesta a Emergencias de Sistemas de Cómputo (CERT’s) con instituciones, agencias y entidades de la Unión Europea para el intercambio de información relacionada con incidentes relacionados con sistemas de cómputo.
3. Gestión del riesgo y obligaciones de notificación de incidentes para los operadores de servicios esenciales y proveedores de servicios digitales. Los operadores de servicios de comunicaciones deberán adoptar medidas de seguridad adecuadas y notificar los incidentes de gravedad a las autoridades nacionales relevantes. Las medidas de seguridad podrán incluir: (i) Prevención de Riesgos: (ii) asegurar las redes de información y sistemas de seguridad; y (iii) minimizar el impacto de los incidentes.
La Directiva NIS fue publicada en el Diario Oficial de la Unión Europea el pasado 19 de Julio de 2016. Los Estados Miembros tendrán 21 meses para adoptar y transponerla en sus respectivos marcos jurídicos nacionales, así como un periodo adicional de seis meses para identificar a los operadores de infraestructura crítica y servicios esenciales, entre otras obligaciones.
Mayor información acerca de la adopción de la Directiva NIS se encuentra en:
Publicación en el Diario Oficial de la Unión Europea
Notas del Director de IAPP Europa
Deja una respuesta