La Directiva (UE) 2022/2555, conocida como SRI 2, establece un marco regulador común de ciberseguridad cuyo objetivo es mejorar el nivel de ciberseguridad en la Unión Europea (UE), mediante la exigencia a los Estados miembros de que refuercen las capacidades de ciberseguridad e introduzcan medidas de gestión de riesgos de ciberseguridad y notificaciones en sectores críticos, junto con normas relativas a la cooperación, el intercambio de información, la supervisión y la ejecución.
PUNTOS CLAVE
Ciberseguridad: se refiere a las actividades necesarias para proteger las redes y los sistemas de información, sus usuarios y otras personas afectadas por las ciberamenazas.
Sectores críticos
La Directiva se aplica principalmente a entidades medianas y grandes que operan en los siguientes sectores de alta criticidad según se define en el anexo I:
energía,
electricidad, que incluye los sistemas de producción, distribución y transporte y los puntos de recarga,
calefacción y refrigeración urbanas,
crudo, que incluye la producción, el almacenamiento y oleoductos de transporte,
gas, que incluye los sistemas de suministro, distribución y transporte y almacenamiento e
hidrógeno;
transporte aéreo, por ferrocarril, marítimo y fluvial, y por carretera;
banca e infraestructuras de los mercados financieros tales como entidades de crédito, gestores de centros de negociación y entidades de contrapartida central;
sector sanitario, que incluye prestadores de asistencia sanitaria, fabricantes de productos farmacéuticos de base y productos sanitarios esenciales, y laboratorios de referencia de la UE;
agua potable;
aguas residuales.
infraestructura digital, que incluye proveedores de servicios de datos, de servicios de computación en nube, de redes públicas de comunicaciones electrónicas y de servicios de comunicaciones electrónicas disponibles para el público;
gestión de servicios de tecnologías de la información y de las comunicaciones (TIC) (de empresa a empresa);
espacio;
administración pública a nivel central y regional, salvo el poder judicial, los parlamentos y los bancos centrales, aunque no se aplica a las entidades de la Administración pública que realizan actividades en materia de seguridad nacional, seguridad pública, defensa o aplicación de la ley.
Además, se aplica a otros sectores críticos, según se definen en el anexo II:
servicios postales y de mensajería;
gestión de residuos;
fabricación, producción y distribución de sustancias y mezclas químicas;
producción, transformación y distribución de alimentos;
fabricación, especialmente de productos sanitarios, productos informáticos, electrónicos y ópticos, determinados tipos de material eléctrico y maquinaria, vehículos de motor y otro material de transporte;
proveedores de servicios digitales de mercados en línea, de motores de búsqueda y redes sociales; y
organismos de investigación.
Estrategia nacional de ciberseguridad
Cada Estado miembro debe adoptar una estrategia nacional para lograr y mantener un elevado nivel de ciberseguridad en los sectores críticos, que incluya:
un marco de gobernanza que precise los papeles y las responsabilidades de las partes interesadas pertinentes a escala nacional;
políticas que aborden la seguridad de las cadenas de suministro;
políticas de gestión de las vulnerabilidades;
políticas de promoción y desarrollo de la educación y la formación en materia de ciberseguridad, y
medidas para mejorar la sensibilización de los ciudadanos en materia de ciberseguridad.
Los Estados miembros deben establecer una lista de entidades esenciales e importantes, junto con entidades que presten servicios de registro de nombres de dominio, a más tardar el . Deben revisar y, en su caso, actualizar esa lista periódicamente, y como mínimo cada dos años a partir de entonces. La Comisión Europea ha adoptado directrices relativas a la información que debe recogerse en la elaboración de estas listas, junto con un modelo para ello.
La Comisión también ha publicado directrices que aclaran las normas relativas a la relación entre la Directiva (UE) 2022/2555 y los actos jurídicos de la UE actuales y futuros, específicos del sector, que abordan medidas de gestión del riesgo de ciberseguridad o requisitos de información sobre incidentes. En el apéndice de las directrices figura una lista no exhaustiva de los actos jurídicos específicos del sector que la Comisión considera que entran en el ámbito de aplicación del artículo 4 de la Directiva (UE) 2022/2555.
Los equipos de respuesta a incidentes de seguridad informática (CSIRT) proporcionan asistencia técnica a entidades, por ejemplo:
realizando un seguimiento y analizando las ciberamenazas, las vulnerabilidades y los incidentes a escala nacional;
difundiendo alertas tempranas, alertas, avisos e información sobre las ciberamenazas, las vulnerabilidades y los incidentes a las entidades afectadas y a otras partes interesadas, a ser posible en tiempo cuasirreal;
respondiendo a incidentes y prestando asistencia, si procede;
recopilando y analizando datos forenses y efectuando análisis dinámicos de riesgos e incidentes y de conocimiento de la situación en materia de ciberseguridad; y
proporcionando, bajo petición, una exploración proactiva de los sistemas de redes y de información para detectar vulnerabilidades que puedan tener una repercusión significativa.
Red de CSIRT
La Directiva crea una red de CSIRT nacionales para fomentar una cooperación operativa rápida y eficaz.
La Directiva crea un grupo de cooperación para apoyar y facilitar la cooperación estratégica y el intercambio de información, formado por representantes de los Estados miembros, la Comisión Europea y ENISA. Cuando sea oportuno, el grupo de cooperación puede invitar al Parlamento Europeo y a representantes de partes interesadas pertinentes a que participen en su labor.
La Red europea de organizaciones de enlace para las crisis de ciberseguridad (EU-CyCLONe) está formada por representantes de las autoridades de gestión de crisis de ciberseguridad de los Estados miembros, junto con la Comisión, en los casos en que un incidente de ciberseguridad a gran escala potencial o en curso tenga o pueda tener un impacto significativo en los sectores cubiertos por la Directiva. En los demás casos, la Comisión participará en las actividades de la red en calidad de observador.
La red respalda la gestión coordinada de los incidentes y las crisis de ciberseguridad a gran escala en el ámbito operativo y garantiza el intercambio regular de información entre los Estados miembros y las instituciones de la UE, sus órganos, oficinas y organismos.
La red se encarga, entre otras cosas, de:
coordinar la gestión de incidentes y crisis de ciberseguridad a gran escala y apoyar la toma de decisiones a nivel político;
aumentar la preparación;
desarrollar una conciencia situacional conjunta, y
evaluar las consecuencias y los efectos de los incidentes y crisis de ciberseguridad a gran escala y proponer posibles medidas paliativas.
Medidas de gestión de riesgos de ciberseguridad
Las entidades deben adoptar medidas técnicas, operativas y de organización adecuadas y proporcionadas para gestionar los riesgos de ciberseguridad. El catálogo de medidas incluye, entre otras cosas, las políticas de seguridad del sistema de información y análisis de riesgos, la gestión de incidentes, la continuidad de las actividades, la recuperación en caso de catástrofes y la gestión de crisis, la seguridad de la cadena de suministro, la gestión y divulgación de las vulnerabilidades, las prácticas básicas de ciberhigiene, las políticas y procedimientos relativos al uso de la criptografía (y cifrado, cuando proceda), la seguridad de los recursos humanos, y el uso de soluciones de autenticación multifactorial o de autenticación continua. Estas medidas deben basarse en un planteamiento que abarque todos los riesgos.
Los órganos de dirección deben aprobar las medidas de gestión de riesgos de ciberseguridad y supervisar su aplicación, y serán responsables por los incumplimientos.
Notificación
Las entidades deben notificar a su CSIRT o a su autoridad pertinente todo incidente que:
haya causado o pueda causar graves perturbaciones operativas o pérdidas económicas a la entidad;
haya afectado o pueda afectar a otras personas al causar perjuicios materiales o inmateriales considerables.
Además, la ENISA producirá, junto con la Comisión y el grupo de cooperación, un informe bienal sobre la situación de la ciberseguridad en la UE, que también remitirá al Parlamento.
Supervisión y ejecución
La Directiva estipula las vías de recurso o sanciones para garantizar la aplicación.
Revisiones interpares
Se establecen revisiones interpares con vistas a aprender de experiencias compartidas, reforzar la confianza mutua, lograr un elevado nivel común de ciberseguridad y reforzar las capacidades y políticas de ciberseguridad de los Estados miembros necesarias para la aplicación de esta Directiva. Dichas revisiones conllevan visitas presenciales o virtuales e intercambios de información a distancia. La participación en estas revisiones interpares es voluntaria.
El Reglamento de Ejecución (UE) 2024/2690 establece las disposiciones de aplicación de la Directiva (UE) 2022/2555 en lo que respecta a los requisitos técnicos y metodológicos de las medidas para la gestión de riesgos de ciberseguridad y en el que se detallan los casos en que un incidente se considera significativo con respecto a:
los proveedores de servicios de DNS,
los registros de nombres de dominio de primer nivel,
los proveedores de servicios de computación en nube,
los proveedores de servicios de centro de datos,
los proveedores de redes de distribución de contenidos,
los proveedores de servicios gestionados,
los proveedores de servicios de seguridad gestionados,
los proveedores de mercados en línea, motores de búsqueda en línea y plataformas de servicios de redes sociales, y
los proveedores de servicios de confianza.
Derogación
La Directiva (UE) 2022/2555 derogó la Directiva (UE) 2016/1148 (véase la síntesis) a partir del , y el Reglamento de Ejecución (UE) 2024/2690 derogó el Reglamento de Ejecución (UE) 2018/151, que estableció las disposiciones de aplicación de la Directiva (UE) 2016/1148.
¿DESDE CUÁNDO ESTÁN EN VIGOR ESTAS NORMAS?
La Directiva debía transponerse a la legislación nacional a más tardar el . Las normas están en vigor desde el .
Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de , relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.o 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2) (DO L 333 de , pp. 80-152).
Las modificaciones sucesivas de la Directiva (UE) 2022/2555 se han incorporado a la versión original. Esta versión consolidada solo tiene valor documental.
DOCUMENTOS CONEXOS
Reglamento de Ejecución (UE) 2024/2690 de la Comisión, de , por el que se establecen las disposiciones de aplicación de la Directiva (UE) 2022/2555 en lo que respecta a los requisitos técnicos y metodológicos de las medidas para la gestión de riesgos de ciberseguridad y en el que se detallan los casos en que un incidente se considera significativo con respecto a los proveedores de servicios de DNS, los registros de nombres de dominio de primer nivel, los proveedores de servicios de computación en nube, los proveedores de servicios de centro de datos, los proveedores de redes de distribución de contenidos, los proveedores de servicios gestionados, los proveedores de servicios de seguridad gestionados, los proveedores de mercados en línea, motores de búsqueda en línea y plataformas de servicios de redes sociales, y los proveedores de servicios de confianza (DO L, 2024/2690, ).
Comunicación de la Comisión Directrices de la Comisión sobre la aplicación del artículo 3, apartado 4, de la Directiva (UE) 2022/2555 (Directiva SRI 2) 2023/C 324/02 (DO C 324 de , pp. 2-7).
Comunicación de la Comisión Directrices de la Comisión sobre la aplicación del artículo 4, apartados 1 y 2, de la Directiva (UE) 2022/2555 (Directiva SRI 2) 2023/C 328/02 (DO C 328 de , pp. 2-10).
Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de , sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014 y (UE) 2016/1011 (DO L 333 de , pp. 1-79).
Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo, de , relativa a la resiliencia de las entidades críticas y por la que se deroga la Directiva 2008/114/CE del Consejo (DO L 333 de , pp. 164-198).
Reglamento (UE) 2021/696 del Parlamento Europeo y del Consejo, de , por el que se crean el Programa Espacial de la Unión y la Agencia de la Unión Europea para el Programa Espacial y por el que se derogan los Reglamentos (UE) n.o 912/2010, (UE) n.o 1285/2013 y (UE) n.o 377/2014 y la Decisión n.o 541/2014/UE (DO L 170 de , pp. 69-148).
Reglamento (UE) 2021/694 del Parlamento Europeo y del Consejo, de , por el que se establece el Programa Europa Digital y por el que se deroga la Decisión (UE) 2015/2240 (DO L 166 de , pp. 1-34).
Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de , relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 (Reglamento sobre la Ciberseguridad) (DO L 151 de , pp. 15-69).
Recomendación (UE) 2019/534 de la Comisión, de — Ciberseguridad de las redes 5G (DO L 88 de , pp. 42-47).
Reglamento (UE) 2018/1139 del Parlamento Europeo y del Consejo, de , sobre normas comunes en el ámbito de la aviación civil y por el que se crea una Agencia de la Unión Europea para la Seguridad Aérea y por el que se modifican los Reglamentos (CE) n.o 2111/2005, (CE) n.o 1008/2008, (UE) n.o 996/2010, (CE) n.o 376/2014 y las Directivas 2014/30/UE y 2014/53/UE del Parlamento Europeo y del Consejo, y se derogan los Reglamentos (CE) n.o 552/2004 y (CE) n.o 216/2008 del Parlamento Europeo y del Consejo y el Reglamento (CEE) n.o 3922/91 del Consejo (DO L 212 de , pp. 1-122).
Directiva (UE) 2018/1972 del Parlamento Europeo y del Consejo, de , por la que se establece el Código Europeo de las Comunicaciones Electrónicas (versión refundida) (DO L 321 de , pp. 36-214).
Decisión de Ejecución (UE) 2018/1993 del Consejo, de , sobre el dispositivo de la UE de respuesta política integrada a las crisis (DO L 320 de , pp. 28-34).
Recomendación (UE) 2017/1584 de la Comisión, de , sobre la respuesta coordinada a los incidentes y crisis de ciberseguridad a gran escala (DO L 239 de , pp. 36-58).
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de , relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de , pp. 1-88).
Reglamento (UE) n.o910/2014 del Parlamento Europeo y del Consejo, de , relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE (DO L 257 de , pp. 73-114).
Directiva 2013/40/UE del Parlamento Europeo y del Consejo, de , relativa a los ataques contra los sistemas de información y por la que se sustituye la Decisión marco 2005/222/JAI del Consejo (DO L 218 de , pp. 8-14).
Decisión n.o 1313/2013/UE del Parlamento Europeo y del Consejo, de , relativa a un Mecanismo de Protección Civil de la Unión (DO L 347 de , pp. 924-947).
Directiva 2011/93/UE del Parlamento Europeo y del Consejo, de , relativa a la lucha contra los abusos sexuales y la explotación sexual de los menores y la pornografía infantil y por la que se sustituye la Decisión Marco 2004/68/JAI del Consejo (DO L 335 de , pp. 1-14).
Reglamento (CE) n.o300/2008 del Parlamento Europeo y del Consejo, de , sobre normas comunes para la seguridad de la aviación civil y por el que se deroga el Reglamento (CE) n.o 2320/2002. (DO L 97 de , pp. 72-84).
Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de , relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de , pp. 37-47).