Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 32016L1148

    Ciberseguridad de las redes y sistemas de información

    Fecha de la última revisión:
    01/03/2018
    Fecha de creación inicial:
    04/04/2018
    Documentos resumidos:
    Autor:
    Oficina de Publicaciones de la Unión Europea
    Entidad o entidades responsables:
    Dirección General de Redes de Comunicación, Contenido y Tecnologías

    Ciberseguridad de las redes y sistemas de información

     

    SÍNTESIS DEL DOCUMENTO:

    Directiva (UE) 2016/1148 sobre ciberseguridad de las redes y sistemas de información

    ¿CUÁL ES EL OBJETIVO DE ESTA DIRECTIVA?

    Esta propone una amplia serie de medidas para aumentar el nivel de seguridad de las redes y sistemas de información (ciberseguridad*) a fin de proteger los servicios esenciales para la economía y la sociedad de la Unión Europea (UE). Tiene por objeto garantizar que los países de la UE estén bien preparados y dispuestos para gestionar y reaccionar a los ciberataques mediante:

    Asimismo, establece una cooperación en la UE tanto en el plano estratégico como técnico.

    Por último, impone a los proveedores de servicios esenciales y a los proveedores de servicios digitales la obligación de adoptar las medidas de seguridad adecuadas y notificar los incidentes graves a las autoridades nacionales competentes.

    PUNTOS CLAVE

    Mejora de las capacidades nacionales de ciberseguridad

    Los países de la UE deben:

    • designar a una o más autoridades nacionales competentes y a uno o varios CSIRT, así como determinar un punto de contacto único (en caso de que haya más de una autoridad competente);
    • designar operadores de servicios esenciales en sectores fundamentales como la energía, el transporte, las finanzas, la banca, la salud, el agua y la infraestructura digital, en los cuales un ciberataque podría perturbar un servicio esencial.

    Los países de la UE también deben adoptar una estrategia nacional de ciberseguridad para las redes y sistemas de información*, que aborde las siguientes cuestiones:

    • preparación y disposición para gestionar y reaccionar a los ciberataques;
    • funciones, responsabilidades y cooperación del gobierno y de otros agentes;
    • programas de educación, concienciación y formación;
    • planes de investigación y desarrollo;
    • planes de identificación de riesgos.

    Las autoridades nacionales competentes supervisan la aplicación de la Directiva de las siguientes maneras:

    • evaluando las políticas de ciberseguridad y seguridad de los operadores de servicios esenciales;
    • supervisando los proveedores de servicios digitales;
    • participando en el trabajo del Grupo de cooperación [formado por las autoridades competentes en materia de seguridad de las redes y de la información (SRI) de cada uno de los países de la UE, la Comisión Europea y la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA)];
    • informando al público cuando sea necesario a fin de evitar un incidente o gestionar uno que ya se haya producido, respetando siempre los requisitos de confidencialidad;
    • impartiendo instrucciones vinculantes para subsanar las deficiencias en ciberseguridad.

    Los CSIRT son responsables de:

    • supervisar incidentes de ciberseguridad y responder a ellos;
    • efectuar un análisis de riesgos e incidentes y de conocimiento de la situación;
    • participar en la red de CSIRT;
    • cooperar con el sector privado;
    • fomentar la utilización de prácticas normalizadas para la clasificación de incidentes, riesgos e información.

    Requisitos en materia de seguridad y notificación

    La Directiva pretende fomentar una cultura de gestión de riesgos. Las empresas que operan en sectores clave deben evaluar los riesgos que corren y adoptar medidas para garantizar la ciberseguridad. Estas empresas deben notificar a las autoridades competentes o a los CSIRT todo incidente pertinente, como la piratería o el robo de datos, que comprometa seriamente la ciberseguridad y tenga un efecto perturbador significativo en la continuidad de servicios fundamentales y en el suministro de productos.

    Para determinar los incidentes que deben ser notificados por los operadores de servicios esenciales*, los países de la UE deberían tener en cuenta la duración del incidente y la extensión geográfica, además de otros factores, como el número de usuarios que dependen de ese servicio.

    Los principales proveedores de servicios digitales (motores de búsqueda, servicios de computación en nube y mercados digitales) también tendrán que cumplir con los requisitos de seguridad y notificación.

    Mejora de la cooperación en la UE

    La Directiva establece un Grupo de cooperación cuyas funciones incluyen:

    • proporcionar orientación a la red de CSIRT;
    • intercambiar buenas prácticas con respecto a la identificación de operadores de servicios esenciales;
    • asistir a los países de la UE en el desarrollo de capacidades para garantizar la ciberseguridad;
    • intercambiar información y buenas prácticas sobre concienciación y formación, así como sobre investigación y desarrollo;
    • intercambiar información y recopilar buenas prácticas sobre riesgos e incidentes;
    • discutir sobre las modalidades para notificar incidentes.

    Asimismo, también establece una red de CSIRT, que está formada por representantes de los CSIRT de los países de la UE y por el Equipo de respuestas a emergencias informáticas de la UE (CERT-UE). Sus funciones son:

    • intercambiar información sobre los servicios de los CSIRT;
    • intercambiar información relativa a incidentes de ciberseguridad;
    • prestar apoyo a los países de la UE a la hora de abordar los incidentes transfronterizos;
    • discutir y determinar una respuesta coordinada a un incidente identificado por un país de la UE;
    • discutir, explorar e identificar más formas de cooperación operativa, incluidas las relacionadas con:
      • categorías de riesgos e incidentes,
      • alertas tempranas,
      • asistencia mutua,
      • coordinación entre países que respondan a riesgos e incidentes que afecten a más de un país de la UE;
    • informar al grupo de cooperación sobre sus actividades y solicitar directrices al respecto;
    • discutir sobre la experiencia adquirida a partir de los ejercicios relativos a la ciberseguridad;
    • a instancias de un CSIRT determinado, analizar las capacidades del mismo;
    • publicar directrices sobre la cooperación operativa.

    Sanciones

    Los países de la UE deben aplicar sanciones efectivas, proporcionadas y disuasorias a fin de garantizar que se apliquen las disposiciones de esta Directiva.

    ¿A PARTIR DE CUÁNDO ESTÁ EN VIGOR LA DIRECTIVA?

    Está en vigor desde el 8 de agosto de 2016. Los países de la UE deben incorporarla a sus legislaciones nacionales a más tardar el 9 de mayo de 2018, y deben designar a los operadores de servicios esenciales a más tardar el 9 de noviembre de 2018.

    ANTECEDENTES

    TÉRMINOS CLAVE

    Ciberseguridad: la capacidad de las redes y sistemas de información de resistir toda acción que comprometa la disponibilidad, autenticidad, integridad o confidencialidad de los datos digitales o de los servicios ofrecidos por esos sistemas.
    Redes y sistemas de información: una red de comunicaciones electrónicas, o todo dispositivo o grupo de dispositivos interconectados que traten datos digitales, así como los datos digitales almacenados, tratados, recuperados o transmitidos.
    Servicios esenciales: empresas privadas o entidades públicas que desempeñan un papel importante para la sociedad y la economía, como por ejemplo servicios de suministro de agua, electricidad, etc.

    DOCUMENTO PRINCIPAL

    Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (DO L 194 de 19.7.2016, pp. 1-30)

    DOCUMENTOS CONEXOS

    Reglamento de Ejecución (UE) 2018/151 de la Comisión, de 30 de enero de 2018, por el que se establecen normas para la aplicación de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo en lo que respecta a la especificación de los elementos que han de tener en cuenta los proveedores de servicios digitales para gestionar los riesgos existentes para la seguridad de las redes y sistemas de información, así como de los parámetros para determinar si un incidente tiene un impacto significativo (DO L 26 de 31.1.2018, pp. 48-51)

    Decisión de Ejecución (UE) 2017/179 de la Comisión, de 1 de febrero de 2017, por la que se establecen las disposiciones de procedimiento necesarias para el funcionamiento del Grupo de cooperación a que se refiere el artículo 11, apartado 5, de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (DO L 28 de 2.2.2017, pp. 73-77)

    Comunicación de la Comisión al Parlamento Europeo y al Consejo: Aprovechar al máximo la SRI — hacia la aplicación efectiva de la Directiva (UE) 2016/1148 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión [COM(2017) 476 final 2 de 4.10.2017]

    Recomendación (UE) 2017/1584 de la Comisión, de 13 de septiembre de 2017, sobre la respuesta coordinada a los incidentes y crisis de seguridad a gran escala (DO L 239 de 19.9.2017, pp. 36-58)

    Comunicación conjunta al Parlamento Europeo y al Consejo — Resiliencia, disuasión y defensa: fortalecer la ciberseguridad de la UE [JOIN(2017) 450 final de 13.9.2017]

    Documento de trabajo de los servicios de la Comisión: Evaluación de la estrategia de ciberseguridad de la UE de 2013 [SWD(2017) 295 final de 13.9.2017]

    Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (DO L 257 de 28.8.2014, pp. 73-114)

    Las sucesivas modificaciones y correcciones del Reglamento (UE) n.o 910/2014 se han incorporado al documento original. Esta versión consolidada solo tiene valor documental.

    Decisión 2013/488/UE del Consejo, de 23 de septiembre de 2013, sobre las normas de seguridad para la protección de la información clasificada de la UE (DO L 274 de 15.10.2013, pp. 1-50)

    Véase la versión consolidada.

    Directiva 2013/40/UE del Parlamento Europeo y del Consejo, de 12 de agosto de 2013, relativa a los ataques contra los sistemas de información y por la que se sustituye la Decisión marco 2005/222/JAI del Consejo (DO L 218 de 14.08.2013, pp. 8-14)

    Reglamento (UE) n.o 526/2013 del Parlamento Europeo y del Consejo, de 21 de mayo de 2013, relativo a la Agencia de Seguridad de las Redes de la Información de la Unión Europea (ENISA) y por el que se deroga el Reglamento (CE) n.o 460/2004 (DO L 165 de 18.6.2013, pp. 41-58)

    Comunicación conjunta al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones - Estrategia de ciberseguridad de la Unión Europea: Un ciberespacio abierto, protegido y seguro [JOIN(2013) 1 final de 7.2.2013]

    última actualización 01.03.2018

    Arriba