El Parlamento Europeo aprobó el pasado 17 de mayo de 2016 la Directiva sobre la seguridad de las redes y sistemas de información, la llamada Directiva de NIS.

El objetivo de la Directiva es lograr un nivel común de seguridad de redes y sistemas de información dentro de la Unión Europea a través de la mejora de la ciberseguridad a nivel nacional, el aumento de la cooperación a nivel de la Unión Europea  y la gestión de riesgos y las obligaciones de notificación de incidentes para los operadores de servicios esenciales y los proveedores servicios digitales.En particular se encuentran dentro del ámbito de esta directiva los operadores que prestan servicios de energía, transporte, financiero, salud, agua, dominios de internet, puntos neutros de intercambio de internet, market places de comercio electrónico, cloud computing y motores de búsqueda. Además, algunos proveedores de servicios de Internet o motores de búsqueda y servicios de Cloud Computing, también tendrán que garantizar la seguridad de su infraestructura e informar sobre incidentes graves. Sin embargo otros proveedores de servicios, como por ejemplo los relacionados con las redes sociales, no estarán sujetos a esta norma. Con esta normativa se intentará aumentar la confianza de los consumidores en los servicios de Internet.

La Directiva obliga a los Estados a determinar conforme a una serie de parámetros cuáles de entre los proveedores que prestan esos servicios son las empresas obligadas, señalar la autoridad competente o los equipos de respuesta a incidentes de seguridad informática a nivel nacional (CSIRT, Computer Security Incident Response Teams) y a la creación de un mecanismo de cooperación a nivel europeo.

En conclusión las tres propuestas clave de la Directiva NIS son:

  1. Que cada país adopte una estrategia de ciberseguridad y una autoridad competente.
  2. Crear un mecanismo de cooperación para compartir información sobre seguridad en toda la Unión Europea.
  3. Que los operadores de infraestructuras críticas, como energía y transporte, y los proveedores de servicios (plataformas de correo electrónico, redes sociales, motores de búsqueda), adopten las medidas necesarias para gestionar sus riesgos de seguridad e informen sobre los incidentes de seguridad que sufran las autoridades nacionales competentes.

Letslaw es un despacho de abogados especializado en protección de datos y derecho digital.