La Unión Europea acordó la implementación de normas de seguridad más estrictas para proteger sectores críticos ante ciberataques. Representantes de la Comisión Europea, el Parlamento y el Consejo definieron los detalles de la Directiva NIS2, que blindará a industrias clave como la energética, financiera, de salud y de transporte, entre otras.
Según la nueva directiva, las empresas y organizaciones críticas deberán evaluar su riesgo de ciberseguridad, establecer y auditar planes de respuesta, así como notificar a las autoridades en caso de sufrir un ciberataque. Las compañías están obligadas a utilizar las tecnologías de ciberseguridad más recientes y serán responsables de tomar medidas para contrarrestar los riesgos.
Según Politico, entre los requisitos se incluye la actualización de software de seguridad, parcheo de vulnerabilidades y preparación de medidas de gestión de riesgos. En caso de un ciberataque, deberá notificarse en las siguientes 24 horas y preparar un informe completo en un lapso de 3 días.
Si la empresa no atiende los requisitos, se hará acreedor a una multa de hasta 2 por ciento de la facturación global. Los países también podrán evaluar los riesgos en las cadenas de suministro críticas.
La Unión Europea busca blindar sectores esenciales
La Unión Europea establece como sectores esenciales al energético, de salud, agua potable, transporte, gestión de aguas residuales y desechos, infraestructura financiera, banca, salud, servicios postales y de mensajería, administración pública y servicios públicos de comunicaciones electrónicas.
Las reglas aplicarán también a los fabricantes de ordenadores y equipos electrónicos, vehículos, maquinaria, dispositivos médicos y alimentos. También aquellos que ofrezcan servicios en línea como redes sociales, motores de búsqueda y mercados online.
Margrethe Vestager, vicepresidenta de la Comisión para una Europa apta para la era digital, dijo que esta directiva representa un avance en la estrategia para garantizar que los ciudadanos y las empresas estén protegidos y confíen en los servicios esenciales.
Bart Groothuis, eurodiputado liberal holandés, comentó que la ley hará de Europa un lugar más seguro para vivir y trabajar. El legislador mencionó que la multa es similar a la cantidad que piden los grupos de ransomware después de un ataque.
Ucrania, el ejemplo perfecto de un país que ha sido vulnerado por ciberataques
Pese a que la UE puso la vista en la gestión de la ciberseguridad desde 2016, el contexto actual ha impulsado a definir nuevas reglas. Los ciberataques van a la alza y en los últimos meses se hicieron evidentes en la guerra de Ucrania.
La invasión de Rusia llegó con una oleada de hackeos para vulnerar servicios esenciales. Grupos ligados al Kremlin atacaron a instituciones financieras y al sector de telecomunicaciones. Debido a esto, Ucrania tuvo que echar mano de servicios como Starlink para no quedar desconectada.
"Las amenazas cibernéticas se han vuelto más audaces y complejas. Era imperativo adaptar nuestro marco de seguridad a las nuevas realidades y asegurarnos de que nuestros ciudadanos e infraestructuras estén protegidos," dijo Thierry Breton, comisario de Mercado Interior.
Al igual que ocurre con otros acuerdos, esta ley necesita aprobarse formalmente por el Parlamento y los Estados miembro. Posteriormente se definirán e implementarán las reglas en cada país de la Unión Europea. Thierry Breton apuntó que la Directiva NIS 2 se apoyará en un futuro de la Ley de Resiliencia Cibernética, una iniciativa que introduce reglas comunes de ciberseguridad para fabricantes de productos y servicios digitales.