¿Qué es la Directiva NIS?
La Directiva NIS es una normativa de la Unión Europea que busca mejorar la seguridad de las redes y sistemas de información en su territorio. Entró en vigor en agosto de 2017 y los estados miembros tienen hasta mayo de este año para trasladarla a sus respectivos ordenamientos jurídicos.
El 9 de agosto de 2017, entró en vigor la “Directiva del Parlamento Europeo y del Consejo relativa a medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información de la Unión” (Directiva NIS). Esta normativa busca mejorar la seguridad de los Estados miembros de la Unión Europea, que tienen hasta el 25 de mayo de 2018 para adaptar sus propias legislaciones a la nueva directiva.
La Directiva NIS surge ante el incremento en número y gravedad de los incidentes relacionados con la ciberseguridad en la Unión Europea. Estos incidentes o ciberataques pueden afectar a los usuarios de dos formas diferentes: dañando directamente sus dispositivos (ordenadores, ‘smartphones’, ‘tablets’) o afectando a los datos alojados en distintos dispositivos. De cualquier manera, la seguridad de las redes y sistemas de información resulta esencial para garantizar el correcto desarrollo de las actividades económicas y sociales y, sobre todo, para el mantenimiento del mercado interior.
Las principales medidas de la Directiva NIS
El objetivo principal de la Directiva NIS es “lograr un elevado nivel común de las redes y sistemas de información dentro de la Unión”. Buscando siempre mejorar la seguridad de las redes y sistemas de información de la Unión Europea, la Directiva NIS establece, principalmente, cinco medidas concretas:
- Todos los estados miembros estarán obligados a adoptar una estrategia nacional de seguridad de las redes y sistemas de información. Y es que existe una gran heterogeneidad entre países que ha llevado, hasta ahora, a planteamientos fragmentados, generando desigualdades en la protección de consumidores y empresas y comprometiendo la seguridad de la Unión Europea a nivel general.
- Se creará un grupo de cooperación con el objetivo de formular una estrategia común y de permitir el intercambio de información entre los estados miembros.
- Se creará una red de Equipos de Respuesta a Incidentes de Seguridad Informática (red CSIRT) que ayude a constituir una cooperación más rápida y eficaz y a que se forme un clima de confianza entre los distintos países.
- Se establecerán condiciones de seguridad para operadores de servicios esenciales y proveedores de servicios digitales. Aquí, se entiende por operador de servicios esenciales a cualquier entidad pública o privada que preste un servicio dependiente de redes y sistemas de información para el mantenimiento de actividades sociales o económicas. Estas entidades pueden pertenecer a distintos sectores como el energético, bancario o sanitario. En cuanto a los proveedores de servicios digitales, se refiere a toda persona jurídica que preste un servicio digital.
- Las autoridades nacionales de cada estado miembro tendrán obligaciones en todas las tareas relacionadas con la seguridad de redes y sistemas de información.