Las compañías que ofrecen servicios esenciales, como energía, transporte, banca y sanidad, o digitales, como los motores de búsqueda y servicios en la nube, deberán tomar medidas ante potenciales ciberataques, en virtud de las primeras reglas comunitarias sobre seguridad cibernética, aprobadas por el Parlamento el miércoles.
Establecer estándares comunes de seguridad cibernética e incrementar la cooperación entre los países de la UE hará más fácil la protección de las empresas, y también servirá para prevenir ataques en infraestructuras interconectadas, señalan los eurodiputados.
“Los fallos de seguridad en las redes a menudo tienen una faceta transfronteriza y, por tanto, afectan a más de un Estado miembro. Una estrategia de protección fragmentada nos hace vulnerables y representa un riesgo grave para Europa en su conjunto. Esta directiva fijará niveles comunes de seguridad e impulsará la cooperación entre países, lo que ayudará a evitar acciones contra infraestructuras interconectadas”, explicó el ponente parlamentario del texto, Andreas Schwab (PPE, Alemania).
Los países deberán designar “empresas esenciales”
La nueva normativa establece obligaciones para los “operadores de servicios esenciales” en sectores como el energético, del transporte, servicios sanitarios, banca y suministro de agua. Las autoridades nacionales deberán identificar a las compañías clave, usando criterios específicos, por ejemplo, si el servicio es clave para la sociedad y la economía y si un incidente podría generar perturbaciones en la distribución de ese servicio.
Algunos proveedores de servicios digitales –comercio en línea, motores de búsqueda y servicios en la nube- también tendrán que adoptar medidas para garantizar la seguridad de su infraestructura y deberán informar en caso de incidentes destacados a las autoridades. Las exigencias de seguridad y notificación son, no obstante, menos estrictas para estos operadores. Las micro empresas y las compañías pequeñas estarán exentas.
Mecanismos de cooperación paneuropea
La directiva prevé el establecimiento de un “grupo de cooperación” para intercambiar información y asistir a los países miembros en el desarrollo de sus herramientas de ciberseguridad. Cada Estado miembro tendrá que adoptar una estrategia en la materia.
Los países también tendrán que crear una red de equipos de respuesta ante incidentes de seguridad informática para gestionar riesgos y fallos, discutir cuestiones de seguridad transfronteriza y desarrollar respuestas coordinadas. La Agencia europea de seguridad en las redes (ENISA) desempeñará un papel clave en la aplicación de las nuevas normas, particularmente en el tema de la cooperación. El respeto a la protección de datos es fundamental, según se reitera en el texto.
Próximos pasos
Tras recibir el visto bueno del pleno, la directiva se publicará en el Diario Oficial y entrará en vigor veinte días después. Los Estados miembros tendrán 21 meses para trasladarla a la legislación nacional y seis meses más para identificar a los operadores de servicios esenciales.