La Directiva Europea NIS 2 como referencia en materia de regulación nacional de
la ciberseguridad
Objetivo
Este artículo tiene como objetivo realizar una descripción breve de las principales áreas que aborda la regulación en la Unión Europea sobre ciberseguridad, en particular, la Directiva Directiva (UE) NIS 2022/2555, y brevemente su antecesora la Directiva (UE) 2016/1148, su objetivo y alcance.
En la misma línea se describen algunos temas de carácter general para luego desarrollar los requisitos establecidos en la norma que se aborda.
La Directiva NIS 2 fue sancionada el 14 de diciembre de 2022 y establece plazos definidos para el cumplimiento de varios requisitos concretos para 2024. La adaptación y publicación de las medidas necesarias para el cumplimiento de lo establecido en esta directiva por parte de cada Estado, se establece como plazo final el 17 de octubre de 2024 (NIS 2, art. 41).
- Objetivo
- Introducción
-
La Directiva sobre Seguridad de las redes y sistemas de información
2016/1148 (NIS) como antecedente. - La Directiva NIS
- Ámbito de aplicación
- Entidades esenciales e importantes
- Medidas de seguridad especificadas
- Estrategias Nacionales de Ciberseguridad
- Divulgación Coordinada de Vulnerabilidades
-
Gestión de crisis a nivel Nacional y Red de CSIRT (Computer Security
Incident Response Team) - Sanciones y transposición
- Conclusión
- Referencias
Introducción
La
Directiva (UE) NIS 2022/2555
(en adelante, NIS 2) establece medidas destinadas a garantizar un elevado
nivel común de ciberseguridad en toda la Unión Europea. Esa normativa modifica
el Reglamento (UE) n.o 910/2014 y la Directiva (UE) 2018/1972, y deroga la
Directiva (UE) 2016/1148 (en adelante NIS 1).
La Directiva NIS1 tuvo como objetivo general mejorar la ciberseguridad y la
resiliencia de las redes y sistemas de información en la Unión Europea. Su
finalidad fue asegurar un nivel elevado de seguridad cibernética en toda la UE
y proteger la integridad y disponibilidad de servicios esenciales.
La Directiva NIS 2 representa un avance respecto de su antecesora, NIS 1, al
establecer ciertas medidas y modificaciones. En ese sentido, en sus
considerandos se mencionan algunas cuestiones que llevaron a revisar y regular
nuevamente ciertas cuestiones.
La Directiva NIS 2 reemplaza la NIS1. En esta norma ya no se hará referencia a
la seguridad de las redes y sistemas de información sino a la ciberseguridad.
En su artículo 1 define la finalidad:
«[la Directiva] establece medidas que tienen por objeto alcanzar un elevado
nivel común de ciberseguridad en toda la Unión con el objetivo de mejorar el
funcionamiento del mercado interior.»
De esta manera y en toda la extensión de la norma se advierte una abordaje más
integral, que si bien sigue considerando aspectos técnicos de las redes y los
sistemas de información, amplía su visión para fortalecer la gestión de los
riesgos y la gobernanza de la ciberseguridad. En efecto, además de todas las
actividades necesarias para la protección de las redes y sistemas de
información, abarca la seguridad de los usuarios de tales sistemas y de otras
personas afectadas por las ciberamenazas (art. 2.1, Reglamento UE 2019/881).
Un primer indicador de las diferencias resulta de notar que la Directiva NIS 1
sobre Seguridad de las redes y la información tiene 75 considerandos y 27
artículos, mientras que esta segunda normativa consta de 144 considerandos y
46 artículos. Resultan interesantes, para los lectores de América Latina y
Caribe, las explicaciones que se dan en los fundamentos sobre las necesidades
de los requisitos que se establecen.
En primer lugar, se observa que estas directivas abordan la necesidad de
imponer requisitos de seguridad de la información para los servicios críticos
o esenciales para los países. Estos servicios son definidos como aquellos que,
si se vieran afectados por un evento disruptivo, se alteraría de manera grave
a sus instituciones o afectaría a la población de manera significativa.
Se puede descargar el documento completo desde aquí.
Tecnológica Nacional, Especialista en criptografía y seguridad
teleinformática por la Escuela Superior Técnica del Ejército y profesora
por el Instituto del Profesorado técnico de UTN. Es Responsable del área
Seguridad TIC de la Fundación Sadosky y docente de Ciberseguridad en
varias diplomaturas (CETyS, ITBA y UNTREF) .
(IAE-Universidad Austral). Realizó una Especialización en Derecho Penal
(UTDT), una Diplomatura Internacional en Protección de Datos Personales,
y está certificado como Delegada de Protección de Datos Personales-DPO
(Cetys-Universidad de San Andrés).
Los comentarios están cerrados.