EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32016L1148

Ciberseguridad de las redes y sistemas de información

Ciberseguridad de las redes y sistemas de información

 

SÍNTESIS DEL DOCUMENTO:

Directiva (UE) 2016/1148 sobre ciberseguridad de las redes y sistemas de información

¿CUÁL ES EL OBJETIVO DE ESTA DIRECTIVA?

Esta propone una amplia serie de medidas para aumentar el nivel de seguridad de las redes y sistemas de información (ciberseguridad*) a fin de proteger los servicios esenciales para la economía y la sociedad de la Unión Europea (UE). Tiene por objeto garantizar que los países de la UE estén bien preparados y dispuestos para gestionar y reaccionar a los ciberataques mediante:

Asimismo, establece una cooperación en la UE tanto en el plano estratégico como técnico.

Por último, impone a los proveedores de servicios esenciales y a los proveedores de servicios digitales la obligación de adoptar las medidas de seguridad adecuadas y notificar los incidentes graves a las autoridades nacionales competentes.

PUNTOS CLAVE

Mejora de las capacidades nacionales de ciberseguridad

Los países de la UE deben:

  • designar a una o más autoridades nacionales competentes y a uno o varios CSIRT, así como determinar un punto de contacto único (en caso de que haya más de una autoridad competente);
  • designar operadores de servicios esenciales en sectores fundamentales como la energía, el transporte, las finanzas, la banca, la salud, el agua y la infraestructura digital, en los cuales un ciberataque podría perturbar un servicio esencial.

Los países de la UE también deben adoptar una estrategia nacional de ciberseguridad para las redes y sistemas de información*, que aborde las siguientes cuestiones:

  • preparación y disposición para gestionar y reaccionar a los ciberataques;
  • funciones, responsabilidades y cooperación del gobierno y de otros agentes;
  • programas de educación, concienciación y formación;
  • planes de investigación y desarrollo;
  • planes de identificación de riesgos.

Las autoridades nacionales competentes supervisan la aplicación de la Directiva de las siguientes maneras:

  • evaluando las políticas de ciberseguridad y seguridad de los operadores de servicios esenciales;
  • supervisando los proveedores de servicios digitales;
  • participando en el trabajo del Grupo de cooperación [formado por las autoridades competentes en materia de seguridad de las redes y de la información (SRI) de cada uno de los países de la UE, la Comisión Europea y la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA)];
  • informando al público cuando sea necesario a fin de evitar un incidente o gestionar uno que ya se haya producido, respetando siempre los requisitos de confidencialidad;
  • impartiendo instrucciones vinculantes para subsanar las deficiencias en ciberseguridad.

Los CSIRT son responsables de:

  • supervisar incidentes de ciberseguridad y responder a ellos;
  • efectuar un análisis de riesgos e incidentes y de conocimiento de la situación;
  • participar en la red de CSIRT;
  • cooperar con el sector privado;
  • fomentar la utilización de prácticas normalizadas para la clasificación de incidentes, riesgos e información.

Requisitos en materia de seguridad y notificación

La Directiva pretende fomentar una cultura de gestión de riesgos. Las empresas que operan en sectores clave deben evaluar los riesgos que corren y adoptar medidas para garantizar la ciberseguridad. Estas empresas deben notificar a las autoridades competentes o a los CSIRT todo incidente pertinente, como la piratería o el robo de datos, que comprometa seriamente la ciberseguridad y tenga un efecto perturbador significativo en la continuidad de servicios fundamentales y en el suministro de productos.

Para determinar los incidentes que deben ser notificados por los operadores de servicios esenciales*, los países de la UE deberían tener en cuenta la duración del incidente y la extensión geográfica, además de otros factores, como el número de usuarios que dependen de ese servicio.

Los principales proveedores de servicios digitales (motores de búsqueda, servicios de computación en nube y mercados digitales) también tendrán que cumplir con los requisitos de seguridad y notificación.

Mejora de la cooperación en la UE

La Directiva establece un Grupo de cooperación cuyas funciones incluyen:

  • proporcionar orientación a la red de CSIRT;
  • intercambiar buenas prácticas con respecto a la identificación de operadores de servicios esenciales;
  • asistir a los países de la UE en el desarrollo de capacidades para garantizar la ciberseguridad;
  • intercambiar información y buenas prácticas sobre concienciación y formación, así como sobre investigación y desarrollo;
  • intercambiar información y recopilar buenas prácticas sobre riesgos e incidentes;
  • discutir sobre las modalidades para notificar incidentes.

Asimismo, también establece una red de CSIRT, que está formada por representantes de los CSIRT de los países de la UE y por el Equipo de respuestas a emergencias informáticas de la UE (CERT-UE). Sus funciones son:

  • intercambiar información sobre los servicios de los CSIRT;
  • intercambiar información relativa a incidentes de ciberseguridad;
  • prestar apoyo a los países de la UE a la hora de abordar los incidentes transfronterizos;
  • discutir y determinar una respuesta coordinada a un incidente identificado por un país de la UE;
  • discutir, explorar e identificar más formas de cooperación operativa, incluidas las relacionadas con:
    • categorías de riesgos e incidentes,
    • alertas tempranas,
    • asistencia mutua,
    • coordinación entre países que respondan a riesgos e incidentes que afecten a más de un país de la UE;
  • informar al grupo de cooperación sobre sus actividades y solicitar directrices al respecto;
  • discutir sobre la experiencia adquirida a partir de los ejercicios relativos a la ciberseguridad;
  • a instancias de un CSIRT determinado, analizar las capacidades del mismo;
  • publicar directrices sobre la cooperación operativa.

Sanciones

Los países de la UE deben aplicar sanciones efectivas, proporcionadas y disuasorias a fin de garantizar que se apliquen las disposiciones de esta Directiva.

¿A PARTIR DE CUÁNDO ESTÁ EN VIGOR LA DIRECTIVA?

Está en vigor desde el 8 de agosto de 2016. Los países de la UE deben incorporarla a sus legislaciones nacionales a más tardar el 9 de mayo de 2018, y deben designar a los operadores de servicios esenciales a más tardar el 9 de noviembre de 2018.

ANTECEDENTES

TÉRMINOS CLAVE

Ciberseguridad: la capacidad de las redes y sistemas de información de resistir toda acción que comprometa la disponibilidad, autenticidad, integridad o confidencialidad de los datos digitales o de los servicios ofrecidos por esos sistemas.
Redes y sistemas de información: una red de comunicaciones electrónicas, o todo dispositivo o grupo de dispositivos interconectados que traten datos digitales, así como los datos digitales almacenados, tratados, recuperados o transmitidos.
Servicios esenciales: empresas privadas o entidades públicas que desempeñan un papel importante para la sociedad y la economía, como por ejemplo servicios de suministro de agua, electricidad, etc.

DOCUMENTO PRINCIPAL

Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (DO L 194 de 19.7.2016, pp. 1-30)

DOCUMENTOS CONEXOS

Reglamento de Ejecución (UE) 2018/151 de la Comisión, de 30 de enero de 2018, por el que se establecen normas para la aplicación de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo en lo que respecta a la especificación de los elementos que han de tener en cuenta los proveedores de servicios digitales para gestionar los riesgos existentes para la seguridad de las redes y sistemas de información, así como de los parámetros para determinar si un incidente tiene un impacto significativo (DO L 26 de 31.1.2018, pp. 48-51)

Decisión de Ejecución (UE) 2017/179 de la Comisión, de 1 de febrero de 2017, por la que se establecen las disposiciones de procedimiento necesarias para el funcionamiento del Grupo de cooperación a que se refiere el artículo 11, apartado 5, de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (DO L 28 de 2.2.2017, pp. 73-77)

Comunicación de la Comisión al Parlamento Europeo y al Consejo: Aprovechar al máximo la SRI — hacia la aplicación efectiva de la Directiva (UE) 2016/1148 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión [COM(2017) 476 final 2 de 4.10.2017]

Recomendación (UE) 2017/1584 de la Comisión, de 13 de septiembre de 2017, sobre la respuesta coordinada a los incidentes y crisis de seguridad a gran escala (DO L 239 de 19.9.2017, pp. 36-58)

Comunicación conjunta al Parlamento Europeo y al Consejo — Resiliencia, disuasión y defensa: fortalecer la ciberseguridad de la UE [JOIN(2017) 450 final de 13.9.2017]

Documento de trabajo de los servicios de la Comisión: Evaluación de la estrategia de ciberseguridad de la UE de 2013 [SWD(2017) 295 final de 13.9.2017]

Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (DO L 257 de 28.8.2014, pp. 73-114)

Las sucesivas modificaciones y correcciones del Reglamento (UE) n.o 910/2014 se han incorporado al documento original. Esta versión consolidada solo tiene valor documental.

Decisión 2013/488/UE del Consejo, de 23 de septiembre de 2013, sobre las normas de seguridad para la protección de la información clasificada de la UE (DO L 274 de 15.10.2013, pp. 1-50)

Véase la versión consolidada.

Directiva 2013/40/UE del Parlamento Europeo y del Consejo, de 12 de agosto de 2013, relativa a los ataques contra los sistemas de información y por la que se sustituye la Decisión marco 2005/222/JAI del Consejo (DO L 218 de 14.08.2013, pp. 8-14)

Reglamento (UE) n.o 526/2013 del Parlamento Europeo y del Consejo, de 21 de mayo de 2013, relativo a la Agencia de Seguridad de las Redes de la Información de la Unión Europea (ENISA) y por el que se deroga el Reglamento (CE) n.o 460/2004 (DO L 165 de 18.6.2013, pp. 41-58)

Comunicación conjunta al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones - Estrategia de ciberseguridad de la Unión Europea: Un ciberespacio abierto, protegido y seguro [JOIN(2013) 1 final de 7.2.2013]

última actualización 01.03.2018

Arriba