Europa refuerza la ley de ciberseguridad, triunfando sobre el Reino Unido
La UE ha introducido dos nuevas leyes importantes que tienen como objetivo aumentar la resiliencia de la ciberseguridad en la economía europea y la resiliencia general de los proveedores de infraestructura crítica ante incidentes que tienen el potencial de interrumpir significativamente sus servicios. Estas nuevas leyes representan un gran avance para la UE, al mismo tiempo que ensombrecen al Reino Unido, que ahora va a la zaga del ritmo de su antiguo socio económico y social.
BERLÍN, ALEMANIA – 06 DE JULIO: La bandera de la Unión Europea ondea sobre el Reichstag el día después de que una … [+] mayoría de personas votaron "no" en el referéndum griego el 6 de julio de 2015 en Berlín, Alemania. Los griegos votaron por amplia mayoría en contra del plan de reforma propuesto por la troika del Banco Central Europeo, el Fondo Monetario Internacional y la Comisión Europea, en una medida que muchos temen lleve a la salida de Grecia de la eurozona. (Foto de Sean Gallup/Getty Images)
imágenes falsas
Bienvenido NIS2 y CER
La primera pieza de legislación es 'NIS2' (o la 'Segunda Directiva de Ciberseguridad', como algunos la llaman). La segunda pieza de legislación es la Directiva sobre Resiliencia de Entidades Críticas (o 'CER', para abreviar).
En comparación con su predecesor, NIS1 (que entró en vigor en mayo de 2018), NIS2 aumenta significativamente la gama de proveedores de servicios sujetos a la legislación de ciberseguridad. Se dividen en dos categorías:
La primera categoría consiste en 'entidades críticas' como se define en CER, que cubre entidades que brindan varios servicios enumerados en estos sectores: Energía, Transporte, Banca, Infraestructuras del Mercado Financiero, Salud, Agua Potable, Aguas Residuales, Infraestructura Digital, Gestión de Servicios TIC, Administración Pública, Espacio y Alimentación (independientemente de su tamaño). La segunda categoría consta de 'entidades esenciales', 'entidades importantes' y una variedad de otras entidades que brindan servicios que se enumeran en los anexos de NIS2, para los cuales existen algunos requisitos de tamaño y algunos requisitos para la identificación de entidades específicas por parte de la UE. Estados miembros. El Anexo 1 de NIS2 repite todos los sectores enumerados en CER, pero brinda una variedad de servicios diferentes. El Anexo 2 cubre los servicios postales y de mensajería, la gestión de residuos, los productos químicos, los alimentos, la fabricación, los proveedores digitales y la investigación.
La gerencia debe ser dueña de la gestión de riesgos de ciberseguridad
Hay muchos detalles en las reglas, que son complicados, por lo que deben consultarse para conocer los parámetros precisos de la regulación, pero en pocas palabras, las entidades reguladas deben:
Establecer órganos de dirección para aprobar y supervisar la gestión de riesgos de ciberseguridad. Poner en marcha planes de formación. Adoptar medidas técnicas y organizativas apropiadas y proporcionadas para la ciberseguridad, que deben tener en cuenta el estado de la técnica y reflejar un "enfoque de todos los peligros", incluidos los riesgos de la cadena de suministro. Reporte incidentes de ciberseguridad con impactos significativos a las autoridades sin demoras indebidas y emita comunicaciones sobre amenazas significativas y medidas correctivas a los destinatarios del servicio que se vean potencialmente afectados.
Nube digital y seguridad de red. Ilustración de hardware de computadora 3D.
getty
Para mantener a raya a las entidades reguladas, los reguladores tienen nuevos poderes de auditoría e inspección sorpresa, pueden ordenar el cambio de comportamiento y pueden imponer multas de hasta el 2% de la facturación mundial anual, o 10 millones de euros, lo que sea mayor.
También hay una serie de nuevas medidas para garantizar que los CSIRT nacionales estén más empoderados y para ayudar a la cooperación internacional.
¿Qué sigue para el Reino Unido?
Entonces, ¿dónde deja esto al Reino Unido después del Brexit? Bueno, el Reino Unido actualmente está atascado con su versión de NIS1, con un ámbito de aplicación significativamente reducido. Probablemente sea poco probable que muchos proveedores de servicios pidan al gobierno que aumente la burocracia, pero en 2022 el gobierno indicó que le gustaría adoptar un enfoque de "legislación delegada" para mejorar la ley. Quizás veamos surgir algunas propuestas concretas para esto durante 2023, ya que seguramente sería vergonzoso para el Gobierno si el Reino Unido sufriera graves interrupciones de ciberseguridad en áreas de la economía que actualmente no están reguladas. Los servicios postales serían un ejemplo de esos, pero esa es otra historia.
