Las empresas que prestan servicios esenciales como, por ejemplo, las compañías eléctricas, la banca y los centros de salud, las compañías de transporte; o las compañías digitales tales como los motores de búsqueda y las empresas de cloud computing, deberán tomar medidas para mejorar su capacidad de resistencia a los ataques informáticos como resultado de las nuevas reglas aprobadas por los diputados de la Comisión de Mercado Interior el jueves.
Esta nueva Directiva de Seguridad de la Información y la Red (conocida como NIS) tiene como objetivo acabar con la actual fragmentación de los 28 distintos sistemas de ciberseguridad. Para ello, se elaborará una lista de aquellos sectores o empresas de servicios criticos que deberán tomar medidas especiales para poder resistir futuros ciberataques. Además, las empresas tendrán la obligación de informar a las autoridades nacionales cuando se produzca una violación grave de su seguridad.
“El Parlamento ha presionado para que se produzca una identificación armonizada de los sectores críticos tales como la energía, el transporte o la banca“, comentaba el portavoz alemán Andreas Schwab (PPE), “Tendrán que notificar los incidentes cibernéticos a los estados miembros que, a su vez, tendrán que cooperar más en materia de ciberseguridad, un campo muy importante dada la actual situación de la seguridad en Europa”
Los estados miembros de la UE tendrán que identificar a los “operadores de servicios esenciales” en cada uno de los campos utilizando unos criterios establecidos:
- Si el servicio es fundamental para la economía y la sociedad.
- Ya depende de sistemas y redes de la información.
- Si un incidente podría tener efectos perjudiciales significativos en la prestación de servicios o la seguridad pública.
Algunos proveedores de servicios digitales, tales como los mercados en línea (eBay o Amazon), motores de búsqueda (Google o Yahoo) y los sistemas de la nube, tendrán que tomar medidas para garantizar la seguridad de su infraestructura y tendrán que reportar a las autoridades nacionales cualquier incidente grave. Las pequeñas empresas digitales serán excluidas del ámbito de aplicación de la Directiva.
Cada estado miembro de la UE también tendrá que establecer una Red de Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT) para manejar incidentes y riesgos , discutir problemas de seguridad transfronterizos e identificar respuestas coordinadas. La Agencia Europea de Seguridad (ENISA) también jugará un papel clave en la aplicación de la Directiva, en particular en relación con la cooperación.
[…] Origen: Llega la primera ley europea de ciberseguridad. […]