Ciberseguridad de las redes y sistemas de información (2022)

 

SÍNTESIS DEL DOCUMENTO:

Directiva (UE) 2022/2555 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión Europea

¿CUÁL ES EL OBJETIVO DE ESTA DIRECTIVA?

La Directiva, conocida como SRI 2, establece un marco regulador común de ciberseguridad cuyo objetivo es mejorar el nivel de ciberseguridad en la Unión Europea (UE), mediante la exigencia a los Estados miembros de que refuercen las capacidades de ciberseguridad, y la introducción de medidas de gestión de riesgos de ciberseguridad y notificaciones en sectores críticos, junto con normas relativas a la cooperación, el intercambio de información, la supervisión y la ejecución.

PUNTOS CLAVE

Ciberseguridad: se refiere a las actividades necesarias para proteger las redes y los sistemas de información, sus usuarios y otros afectados por las ciberamenazas.

Sectores críticos

La Directiva se aplica principalmente a entidades medianas y grandes que operan en los siguientes sectores de alta criticidad según se define en el anexo I:

• la energía,
  • electricidad, que incluye los sistemas de producción, distribución y transporte y los puntos de recarga,
  • calefacción y refrigeración urbanas,
  • crudo, que incluye la producción, el almacenamiento y oleoductos de transporte,
  • gas, que incluye los sistemas de suministro, distribución y transporte y almacenamiento e
  • hidrógeno;
• el transporte aéreo, por ferrocarril, marítimo y fluvial, y por carretera;
• la banca e infraestructuras de los mercados financieros tales como entidades de crédito, gestores de centros de negociación y entidades de contrapartida central;
• el sector sanitario, que incluye prestadores de asistencia sanitaria, fabricantes de productos farmacéuticos de base y productos sanitarios esenciales, y laboratorios de referencia de la UE;
• el agua potable;
• las aguas residuales;
• la infraestructura digital, que incluye proveedores de servicios de datos, de servicios de computación en nube, de redes públicas de comunicaciones electrónicas y de servicios de comunicaciones electrónicas disponibles para el público;
• la gestión de servicios de tecnologías de la información y de las comunicaciones (TIC) (de empresa a empresa);
• el espacio;
• la Administración pública a nivel central y regional, salvo el poder judicial, los parlamentos y los bancos centrales, aunque no se aplica a las entidades de la Administración pública que realizan actividades en materia de seguridad nacional, seguridad pública, defensa o aplicación de la ley.

Además, se aplica a otros sectores críticos, según se definen en el anexo II:

• servicios postales y de mensajería;
• gestión de residuos;
• fabricación, producción y distribución de sustancias y mezclas químicas;
• producción, transformación y distribución de alimentos;
• fabricación, especialmente de productos sanitarios, productos informáticos, electrónicos y ópticos, determinados tipos de material eléctrico y maquinaria, vehículos de motor y otro material de transporte;
• proveedores de servicios digitales de mercados en línea, de motores de búsqueda y redes sociales; y
• organismos de investigación.

Estrategia nacional de ciberseguridad

Cada Estado miembro debe adoptar una estrategia nacional para lograr y mantener un elevado nivel de ciberseguridad en los sectores críticos, que incluya:

• un marco de gobernanza que precise los papeles y las responsabilidades de las partes interesadas pertinentes a escala nacional;
• políticas que aborden la seguridad de las cadenas de suministro;
• políticas de gestión de las vulnerabilidades;
• políticas de promoción y desarrollo de la educación y la formación en materia de ciberseguridad, y
• medidas para mejorar la sensibilización de los ciudadanos en materia de ciberseguridad.

Los Estados miembros deben establecer una lista de entidades esenciales e importantes, junto con entidades que presten servicios de registro de nombres de dominio, a más tardar el 17 de abril de 2025. Deben revisar y, en su caso, actualizar esa lista periódicamente, y como mínimo cada dos años a partir de entonces. La Comisión Europea ha adoptado directrices relativas a la información que debe recogerse en la elaboración de estas listas, junto con un modelo para ello.

La Comisión también ha publicado directrices que aclaran las normas relativas a la relación entre la Directiva (UE) 2022/2555 y los actos jurídicos de la UE actuales y futuros, específicos del sector, que abordan medidas de gestión del riesgo de ciberseguridad o requisitos de información sobre incidentes. En el apéndice de las directrices figura una lista no exhaustiva de los actos jurídicos específicos del sector que la Comisión considera que entran en el ámbito de aplicación de la Directiva (UE) 2022/2555.

Equipos de respuesta a incidentes de seguridad informática

Los equipos de respuesta a incidentes de seguridad informática (CSIRT) proporcionan asistencia técnica a entidades, por ejemplo:

• realizando un seguimiento y analizando las ciberamenazas, las vulnerabilidades y los incidentes a escala nacional;
• difundiendo alertas tempranas, alertas, avisos e información sobre las ciberamenazas, las vulnerabilidades y los incidentes a las entidades afectadas y a otras partes interesadas, a ser posible en tiempo cuasirreal;
• respondiendo a incidentes y prestando asistencia, si procede;
• recopilando y analizando datos forenses y efectuando análisis dinámicos de riesgos e incidentes y de conocimiento de la situación en materia de ciberseguridad; y
• proporcionando, bajo petición, una exploración proactiva de los sistemas de redes y de información para detectar vulnerabilidades que puedan tener una repercusión significativa.

Red de CSIRT

La Directiva crea una red de CSIRT nacionales para fomentar una cooperación operativa rápida y eficaz.

Divulgación coordinada de vulnerabilidades

Los Estados miembros deben:

• designar a uno de sus CSIRT para que coordine la divulgación de vulnerabilidades detectadas en productos o servicios de TIC, y
• garantizar que las personas de los Estados miembros puedan notificar vulnerabilidades, de forma anónima si se les solicita.

La Agencia de la Unión Europea para la Ciberseguridad (ENISA) desarrollará y mantendrá una base de datos de vulnerabilidades.

Grupo de cooperación

La Directiva crea un grupo de cooperación para apoyar y facilitar la cooperación estratégica y el intercambio de información, formado por representantes de los Estados miembros, la Comisión Europea y ENISA. Cuando sea oportuno, el grupo de cooperación puede invitar al Parlamento Europeo y a representantes de partes interesadas pertinentes a que participen en su labor.

Red europea de organizaciones de enlace para crisis de ciberseguridad

La red europea de organizaciones de enlace para las crisis de ciberseguridad (EU-CyCLONe) es una red formada por representantes de las autoridades de gestión de crisis de ciberseguridad de los Estados miembros, junto con la Comisión, en los casos en que un incidente de ciberseguridad a gran escala potencial o en curso tenga o pueda tener un impacto significativo en los sectores cubiertos por la Directiva. En los demás casos, la Comisión participará en las actividades de la red en calidad de observador.

La red respalda la gestión coordinada de los incidentes y las crisis de ciberseguridad a gran escala en el ámbito operativo y garantiza el intercambio regular de información entre los Estados miembros y las instituciones de la UE, sus órganos y organismos.

La red se encarga, entre otras cosas, de:

• coordinar la gestión de incidentes y crisis de ciberseguridad a gran escala y apoyar la toma de decisiones a nivel político;
• aumentar la preparación;
• desarrollar una conciencia situacional conjunta, y
• evaluar las consecuencias y los efectos de los incidentes y crisis de ciberseguridad a gran escala y proponer posibles medidas paliativas.

Notificación

Las entidades deben notificar a su CSIRT o a su autoridad pertinente todo incidente que:

• cause o pueda causar graves perturbaciones operativas o pérdidas económicas a la entidad;
• haya afectado o pueda afectar a otras personas al causar perjuicios materiales o inmateriales considerables.

Además, la ENISA producirá, en cooperación con la Comisión y el grupo de cooperación, un informe bienal sobre la situación de la ciberseguridad en la UE, que también remitirá al Parlamento.

Supervisión y ejecución

La Directiva estipula las vías de recurso o sanciones para garantizar la aplicación.

Revisiones interpares

Se establecen revisiones interpares con vistas a aprender de experiencias compartidas, reforzar la confianza mutua, lograr un elevado nivel común de ciberseguridad y reforzar las capacidades y políticas de ciberseguridad de los Estados miembros necesarias para la aplicación de esta Directiva. Dichas revisiones conllevan visitas in situ presenciales o virtuales e intercambios de información a distancia. La participación en estas revisiones interpares es voluntaria.

¿DESDE CUÁNDO ESTÁN EN VIGOR ESTAS NORMAS?

La Directiva debe estar transpuesta a la legislación nacional a más tardar el 17 de octubre de 2024. Las normas deberían estar en vigor a partir del 18 de octubre de 2024.

ANTECEDENTES

La Directiva deroga la Directiva (UE) 2016/1148 (véase la síntesis) a partir del 18 de octubre de 2024.

Para más información, véanse:

• Ciberseguridad (Comisión Europea)
• Ciberseguridad:cómo combate la UE las amenazas cibernéticas (Consejo Europeo, Consejo de la Unión Europea)
• Cómo responde la UE a las crisis y crea resiliencia (Consejo Europeo, Consejo de la Unión Europea)
• Un futuro digital para Europa (Consejo Europeo, Consejo de la Unión Europea).

DOCUMENTO PRINCIPAL

Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.^o 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2) (DO L 333 de 27.12.2022, pp. 80-152).

Las modificaciones sucesivas de la Directiva (UE) 2022/2555 se han incorporado a la versión original. Esta versión consolidada solo tiene valor documental.

DOCUMENTOS CONEXOS

Comunicación de la Comisión Directrices de la Comisión sobre la aplicación del artículo 3, apartado 4, de la Directiva (UE) 2022/2555 (Directiva SRI 2) 2023/C 324/02 (DO C 324 de 14.9.2023, pp. 2-7).

Comunicación de la Comisión Directrices de la Comisión sobre la aplicación del artículo 4, apartados 1 y 2, de la Directiva (UE) 2022/2555 (Directiva SRI 2) 2023/C 328/02 (DO C 328 de 18.9.2023, pp. 2-10).

Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.^o 1060/2009, (UE) n.^o 648/2012, (UE) n.^o 600/2014, (UE) n.^o 909/2014 y (UE) 2016/1011 (DO L 333 de 27.12.2022, pp. 1-79).

Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a la resiliencia de las entidades críticas y por la que se deroga la Directiva 2008/114/CE del Consejo (DO L 333 de 27.12.2022, pp. 164-198).

Reglamento (UE) 2021/696 del Parlamento Europeo y del Consejo, de 28 de abril de 2021, por el que se crean el Programa Espacial de la Unión y la Agencia de la Unión Europea para el Programa Espacial y por el que se derogan los Reglamentos (UE) n.^o 912/2010, (UE) n.^o 1285/2013 y (UE) n.^o 377/2014 y la Decisión n.^o 541/2014/UE (DO L 170 de 12.5.2021, pp. 69-148).

Reglamento (UE) 2021/694 del Parlamento Europeo y del Consejo, de 29 de abril de 2021, por el que se establece el Programa Europa Digital y por el que se deroga la Decisión (UE) 2015/2240 (DO L 166 de 11.5.2021, pp. 1-34).

Véase la versión consolidada.

Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.^o 526/2013 (Reglamento sobre la Ciberseguridad) (DO L 151 de 7.6.2019, pp. 15-69).

Recomendación (UE) 2019/534 de la Comisión, de 26 de marzo de 2019 — Ciberseguridad de las redes 5G (DO L 88 de 29.3.2019, pp. 42-47).

Reglamento (UE) 2018/1139 del Parlamento Europeo y del Consejo, de 4 de julio de 2018, sobre normas comunes en el ámbito de la aviación civil y por el que se crea una Agencia de la Unión Europea para la Seguridad Aérea y por el que se modifican los Reglamentos (CE) n.^o 2111/2005, (CE) n.^o 1008/2008, (UE) n.^o 996/2010, (CE) n.^o 376/2014 y las Directivas 2014/30/UE y 2014/53/UE del Parlamento Europeo y del Consejo, y se derogan los Reglamentos (CE) n.^o 552/2004 y (CE) n.^o 216/2008 del Parlamento Europeo y del Consejo y el Reglamento (CEE) n.^o 3922/91 del Consejo (DO L 212 de 22.8.2018, pp. 1-122).

Véase la versión consolidada.

Decisión de Ejecución (UE) 2018/1993 del Consejo, de 11 de diciembre de 2018, sobre el dispositivo de la UE de respuesta política integrada a las crisis (DO L 320 de 17.12.2018, pp. 28-34).

Directiva (UE) 2018/1972 del Parlamento Europeo y del Consejo, de 11 de diciembre de 2018, por la que se establece el Código Europeo de las Comunicaciones Electrónicas (versión refundida) (DO L 321 de 17.12.2018, pp. 36-214).

Véase la versión consolidada.

Recomendación (UE) 2017/1584 de la Comisión, de 13 de septiembre de 2017, sobre la respuesta coordinada a los incidentes y crisis de ciberseguridad a gran escala (DO L 239 de 19.9.2017, pp. 36-58).

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, pp. 1-88).

Véase la versión consolidada.

Reglamento (UE) n.^o 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE (DO L 257 de 28.8.2014, pp. 73-114).

Directiva 2013/40/UE del Parlamento Europeo y del Consejo, de 12 de agosto de 2013, relativa a los ataques contra los sistemas de información y por la que se sustituye la Decisión marco 2005/222/JAI del Consejo (DO L 218 de 14.8.2013, pp. 8-14).

Decisión n.^o 1313/2013/UE del Parlamento Europeo y del Consejo, de 17 de diciembre de 2013, relativa a un Mecanismo de Protección Civil de la Unión (DO L 347 de 20.12.2013, pp. 924-947).

Véase la versión consolidada.

Directiva 2011/93/UE del Parlamento Europeo y del Consejo, de 13 de diciembre de 2011, relativa a la lucha contra los abusos sexuales y la explotación sexual de los menores y la pornografía infantil y por la que se sustituye la Decisión Marco 2004/68/JAI del Consejo (DO L 335 de 17.12.2011, pp. 1-14).

Véase la versión consolidada.

Reglamento (CE) n.^o 300/2008 del Parlamento Europeo y del Consejo, de 11 de marzo de 2008, sobre normas comunes para la seguridad de la aviación civil y por el que se deroga el Reglamento (CE) n.^o 2320/2002. (DO L 97 de 9.4.2008, pp. 72-84).

Véase la versión consolidada.

Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, pp. 37-47).

Véase la versión consolidada.

última actualización 03.05.2024