La Directiva 2016/1148 del Parlamento Europeo y del Consejo fue aprobada el pasado 6 de Julio. Conocida como Directiva NIS, pretende garantizar un nivel elevado y común de seguridad de las redes y sistemas en la Unión Europea.

La Directiva NIS entró en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea (lo que tuvo lugar el 19 de julio de 2016) y los Estados miembros tendrán 21 meses para transponerla y 6 meses más para identificar a los operadores de servicios esenciales.

Su objetivo es establecer requisitos comunes de seguridad, para los operadores de servicios esenciales y los proveedores de servicios digitales, así como implantar un grupo de cooperación, con el fin de apoyar y facilitar la cooperación estratégica, y el intercambio de información entre los Estados miembros, que estarán obligados a adoptar una previsión interna con el fin de garantizar la seguridad de las redes y los sistemas de información.

Dichas redes son de vital importancia en las actividades económicas y sociales dentro de la Unión Europea, por lo que, con esta Directiva, se preserva su fiabilidad frente al incremento de amenazas en ciberseguridad que se está produciendo en los últimos tiempos.

Igualmente, esta Directiva debe entenderse “sin perjuicio de que los Estados miembros puedan adoptar las medidas necesarias para garantizar la protección de los intereses esenciales de su seguridad, preservar el orden público y la seguridad pública, y permitir la investigación, detección y enjuiciamiento de infracciones penales”. 

Estructura

La Directiva NIS se estructura de la siguiente manera:

  • Capítulo I.  Disposiciones generales

    Regula el Objeto y ámbito de aplicación de la Directiva, lo relativo al tratamiento de datos personales, la armonización mínima, las definiciones, la identificación de operadores de servicios esenciales y el concepto de Efecto perturbador significativo.

  • Capítulo II.  Marcos nacionales de seguridad de las redes y sistemas de información

    Regula la Estrategia nacional de seguridad de las redes y sistemas de información; las Autoridades nacionales competentes y punto de contacto único; los Equipos de respuesta a incidentes de seguridad informática (CSIRT) y la Cooperación a escala nacional.

  • Capítulo III.  Cooperación

    Regula el Grupo de cooperación; la Red de CSIRT y la Cooperación internacional.

  • Capítulo IV.  Seguridad de las redes y sistemas de información de los operadores de servicios esenciales

    Regula los Requisitos en materia de seguridad y notificación de incidentes y la Aplicación y observancia.

  • Capítulo V.  Seguridad de las redes y sistemas de información de los proveedores de servicios digitales

    Regula los Requisitos en materia de seguridad y notificación de incidentes; la Aplicación y observancia y la Jurisdicción y territorialidad.

  • Capítulo VI.  Normalización y notificación voluntaria

    Regula la Normalización  y la Notificación voluntaria.

  • Capítulo VII.  Disposiciones finales

    Se refiere a las Sanciones; al Procedimiento de comité; a la Revisión; las Medidas transitorias; la Transposición; su Entrada en vigor y los Destinatarios de la norma.