Resumen
La Comisión Europea adelantó a diciembre de 2020 la publicación de la revisión de la Directiva NIS relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad de aquellas entidades que ofrecen servicios esenciales1.
La propuesta incorpora importantes cambios en relación con las capacidades de supervisión, coordinación y sanción de los Estados miembros, así como novedades dirigidas a aquellas entidades que ofrecen servicios esenciales, con la incorporación de un número significativo de nuevos sectores, incluido el ámbito digital, como los proveedores de servicios en la nube, los servicios y redes de comunicaciones y la Administración Pública. El borrador obliga a las entidades a que adopten un enfoque de la ciberseguridad basado en la gestión de riesgos y amplía los requisitos de ciberseguridad, entre otros, a las relaciones de las entidades con sus cadenas de suministro.
El sector público —y, dentro de él, el Departamento de Seguridad Nacional— lidera la negociación de los cambios al borrador, así como su futura trasposición al ordenamiento nacional. Cuando las empresas que ofrecen servicios esenciales se encuentran en plena fase de implantación de las medidas establecidas por el desarrollo reglamentario de la trasposición de la anterior Directiva NIS, aprobada en enero de 2021, el Real Instituto Elcano ha creído conveniente consultar a los miembros de su Grupo de Trabajo sobre Ciberpolítica para colaborar con el sector público en el seguimiento y tramitación del actual borrador. Este documento de trabajo refleja el resultado de esa colaboración público-privada, presenta las valoraciones y posiciones sobre la propuesta de Directiva NIS2 de los distintos miembros del Grupo de Trabajo y explora las posibilidades de una mayor colaboración público-privada en el ámbito regulatorio.
Javier Alonso Lecuit
Investigador sénior asociado, Real Instituto Elcano.
1 Por defecto, salvo que se indique un tipo de entidad en concreto, se entenderán éstas en un sentido amplio, es decir, todas aquellas “entidades” obligadas por la Directiva NIS en los Anexos II (“Tipos de entidades a efectos del artículo 4, punto 4”) y Anexo III (“Tipos de servicios digitales a efectos del artículo 4, punto 5”) o las correspondientes “entidades esenciales” y “entidades importantes” establecidas en los Anexos I y II de la Propuesta NIS2.
Bayfront Avenue, ArtScience Museum, Singapur. Foto: Robynne Hu (@robynnexy)