Imprimir
Índice
(1)Resumen – 3
(2) Punto de partida y antecedentes: la Directiva NIS y su trasposición – 3
(3) Evaluación de la Directiva NIS– 5
(4) La intención reguladora de la nueva Directiva NIS2 – 7
(5) Valoraciones y posiciones preliminares del sector privado– 9
(5.1) Ámbito de aplicación y alcance de la propuesta – 10
(5.2) Divulgación coordinada de las vulnerabilidades y registro europeo de vulnerabilidades – 12
(5.3) Marcos nacionales de gestión de crisis de ciberseguridad – 13
(5.4) Implantación efectiva de la cooperación en gestión de crisis – 13
(5.5) Enfoque de gestión de riesgos de ciberseguridad – 14
(5.6) Evaluaciones coordinadas de la UE de los riesgos en las cadenas de suministro críticas – 15
(5.7) Esquemas europeos de certificación de la ciberseguridad – 15
(5.8) Obligaciones de notificación – 16
(5.9) Consideraciones sobre el alcance y potenciales conflictos en los procesos de notificación – 20
(5.10) Bases de datos de nombres de dominio y datos de registro – 21
(5.11) Registro europeo de entidades esenciales e importantes – 21
(5.12) Supervisión y ejecución – 21
(5.13) Régimen sancionador – 22
(5.14) Sanciones dirigidas a la alta dirección de las entidades – 23
(6) Propuestas para la colaboración público-privada – 23
(7) Conclusiones y principales propuestas recogidas – 24
Resumen
La Comisión Europea adelantó a diciembre de 2020 la publicación de la revisión de la Directiva NIS relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad de aquellas entidades que ofrecen servicios esenciales1.
La propuesta incorpora importantes cambios en relación con las capacidades de supervisión, coordinación y sanción de los Estados miembros, así como novedades dirigidas a aquellas entidades que ofrecen servicios esenciales, con la incorporación de un número significativo de nuevos sectores, incluido el ámbito digital, como los proveedores de servicios en la nube, los servicios y redes de comunicaciones y la Administración Pública. El borrador obliga a las entidades a que adopten un enfoque de la ciberseguridad basado en la gestión de riesgos y amplía los requisitos de ciberseguridad, entre otros, a las relaciones de las entidades con sus cadenas de suministro.
El sector público —y, dentro de él, el Departamento de Seguridad Nacional— lidera la negociación de los cambios al borrador, así como su futura trasposición al ordenamiento nacional. Cuando las empresas que ofrecen servicios esenciales se encuentran en plena fase de implantación de las medidas establecidas por el desarrollo reglamentario de la trasposición de la anterior Directiva NIS, aprobada en enero de 2021, el Real Instituto Elcano ha creído conveniente consultar a los miembros de su Grupo de Trabajo sobre Ciberpolítica para colaborar con el sector público en el seguimiento y tramitación del actual borrador. Este documento de trabajo refleja el resultado de esa colaboración público-privada, presenta las valoraciones y posiciones sobre la propuesta de Directiva NIS2 de los distintos miembros del Grupo de Trabajo y explora las posibilidades de una mayor colaboración público-privada en el ámbito regulatorio.
Javier Alonso Lecuit
Investigador sénior asociado, Real Instituto Elcano.
