16.6.2016   

ES

Diario Oficial de la Unión Europea

C 218/31

1.

El 12 de febrero de 2013, la Comisión presentó su propuesta de Directiva del Parlamento Europeo y del Consejo relativa a medidas para garantizar un elevado nivel común de seguridad de las redes y de la información en la Unión (en lo sucesivo, «la Directiva»), con el artículo 114 del TFUE como base jurídica.

2.

El Comité Económico y Social Europeo votó su dictamen el 22 de mayo de 2013 y el Comité de las Regiones votó el suyo los días 3 y 4 de julio de 2013.

3.

El Parlamento Europeo votó su resolución legislativa en primera lectura el 13 de marzo de 2014 (1), aprobando 138 enmiendas.

4.

El Consejo y el Parlamento Europeo entablaron negociaciones con vistas a llegar a un acuerdo rápido en segunda lectura en octubre de 2014. Las negociaciones concluyeron con éxito el 7 de diciembre de 2015 al alcanzar el Parlamento Europeo y el Consejo un acuerdo provisional sobre un texto transaccional.

5.

El 18 de diciembre de 2015, el Comité de Representantes Permanentes confirmó el texto transaccional de la Directiva acordado por ambas instituciones.

6.

El 28 de enero de 2016, la Presidencia de la Comisión de Mercado Interior y Protección del Consumidor del Parlamento Europeo remitió una carta a la Presidencia del Comité de Representantes Permanentes en la que declaraba que, en caso de que el Consejo transmitiera formalmente su Posición al Parlamento Europeo tal como se había acordado, a reserva de la formalización de los juristas-lingüistas, recomendaría al Pleno la aprobación sin enmiendas de la Posición del Consejo en la segunda lectura del Parlamento.

7.

El 29 de febrero de 2016, el Consejo confirmó su acuerdo político sobre el texto transaccional de la Directiva.

8.

Del resultado de las negociaciones se desprende que la Directiva establece medidas con el objeto de lograr un elevado nivel común de seguridad de las redes y los sistemas de información dentro de la Unión Europea, a fin de mejorar el funcionamiento del mercado interior.

9.

Tras la votación en el Pleno, el Parlamento Europeo y el Consejo entablaron negociaciones con el fin de alcanzar un acuerdo en segunda lectura sobre la base de una Posición del Consejo en primera lectura que el Parlamento pudiera aprobar sin cambios. El texto de la Posición del Consejo en primera lectura refleja plenamente el acuerdo transaccional alcanzado entre los colegisladores.

10.

Los principales puntos del acuerdo transaccional alcanzado con el Parlamento se exponen a continuación:

11.

Con arreglo a la transacción, los Estados miembros tienen determinadas obligaciones con respecto a su capacidad nacional en materia de ciberseguridad. En primer lugar, están obligados a adoptar una estrategia nacional que establezca los objetivos estratégicos y las medidas estratégicas y reglamentarias adecuadas a fin de alcanzar y mantener un elevado nivel común de seguridad de las redes y los sistemas de información.

12.

En segundo lugar, los Estados miembros designarán una o más autoridades nacionales competentes en materia de seguridad de las redes y los sistemas de información para el seguimiento de la aplicación de la Directiva a nivel nacional.

13.

En tercer lugar, se pide además a los Estados miembros que designen un punto de contacto único nacional para la seguridad de las redes y los sistemas de información, que ejercerá una función de enlace para garantizar la cooperación transfronteriza entre las autoridades de los Estados miembros, con las autoridades competentes de otros Estados miembros y con el grupo de cooperación y la red de CSIRT. El punto de contacto único también presentará un informe anual al grupo de cooperación sobre las notificaciones recibidas.

14.

Por último, los Estados miembros designarán uno o varios equipos de respuesta a incidentes de seguridad informática (CSIRT) responsables de la gestión de incidentes y riesgos. El texto transaccional establece obligaciones y tareas de los CSIRT en su anexo I.

15.

A fin de apoyar y facilitar la cooperación estratégica entre los Estados miembros, desarrollar confianza y seguridad y alcanzar un elevado nivel común de seguridad de las redes y los sistemas de información en la Unión, el texto transaccional establece un grupo de cooperación. El grupo deberá estar compuesto por representantes de los Estados miembros, la Comisión y la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA), y tendrá unas funciones específicas que se enumeran en el texto, como el intercambio de buenas prácticas e información sobre una serie de cuestiones o el debate sobre las capacidades y la preparación de los Estados miembros.

16.

Por otra parte, el texto transaccional establece una red de CSIRT nacionales para contribuir al desarrollo de la confianza mutua entre los Estados miembros y para promover una cooperación rápida y eficaz. La red estará compuesta por representantes de los CSIRT de los Estados miembros y el CERT-UE, y la Comisión participará en la red en calidad de observador. La ENISA se hará cargo de la secretaría y apoyará activamente la cooperación entre los CSIRT. El texto establece una lista de las tareas que llevará a cabo la red, como por ejemplo el intercambio de información sobre servicios, operaciones y capacidades de cooperación de los CSIRT, el apoyo a los Estados miembros a la hora de hacer frente a incidentes transfronterizos o, en determinadas condiciones, el intercambio y análisis de información relativa a incidentes y riesgos asociados.

17.

La Directiva establece determinadas obligaciones para dos tipos de operadores del mercado: los operadores de servicios esenciales y los proveedores de servicios digitales.

18.

El anexo II de la Directiva enumera una serie de sectores importantes para la sociedad y la economía, concretamente la energía, los transportes, la banca, las infraestructuras de los mercados financieros, la sanidad, el suministro y la distribución de agua potable y la infraestructura digital. En estos sectores los Estados miembros determinarán qué operadores prestan servicios esenciales, basándose en unos criterios precisos establecidos en la Directiva.

19.

El anexo III de la Directiva enumera tres tipos de servicios digitales cuyos proveedores deben cumplir los requisitos de la Directiva: mercados en línea, motores de búsqueda en línea y servicios de computación en red. Todos los proveedores de servicios digitales que prestan los servicios de esta lista deberán cumplir los requisitos de la Directiva, con exclusión de las microempresas y las pequeñas empresas.

20.

Los dos conjuntos de operadores del mercado estarán obligados a adoptar medidas organizativas y técnicas para gestionar los riesgos existentes para la seguridad de las redes y los sistemas de información y para prevenir y reducir al mínimo los efectos de los incidentes que afecten a la seguridad de los sistemas. Por otra parte, los incidentes que tengan un nivel de repercusión determinado en los servicios en cuestión tendrán que notificarse a las autoridades nacionales competentes o a los CSIRT. La Directiva establece unos criterios para determinar el nivel de las repercusiones de estos incidentes.

21.

La Directiva adopta un enfoque diferenciado con respecto a las dos categorías de operadores. Los requisitos en materia de seguridad y notificación son más sencillos para los proveedores de servicios digitales que para los operadores de servicios esenciales, lo cual refleja el grado de riesgo que la interrupción de sus servicios podría suponer para la sociedad y la economía. Por otra parte, teniendo en cuenta que los proveedores de servicios digitales a menudo actúan en muchos Estados miembros, y con objeto de garantizar un nivel de armonización elevado, la Directiva impide que los Estados miembros impongan más requisitos en materia de seguridad y notificación a dichos proveedores.

22.

El texto transaccional establece también que las entidades que no hayan sido identificadas como operadores de servicios esenciales y no sean proveedores de servicios digitales podrán notificar algunos incidentes de forma voluntaria.

23.

Los Estados miembros deberán transponer la Directiva a más tardar a los veintiún meses de la fecha de su entrada en vigor, y dispondrán de seis meses adicionales para determinar sus operadores de servicios esenciales.

24.

La Posición del Consejo refleja plenamente el texto transaccional alcanzado en las negociaciones entre el Parlamento Europeo y el Consejo, con el visto bueno de la Comisión. Esta fórmula transaccional quedó confirmada por la carta que la Presidencia de la Comisión de Mercado Interior y Protección del Consumidor remitió a la Presidencia del Comité de Representantes Permanentes el 28 de enero de 2016.