Las compañías que ofrecen servicios esenciales, como energía, transporte, banca y sanidad, o digitales, como los motores de búsqueda y servicios en la nube, deberán tomar medidas ante potenciales ciberataques, en virtud de las primeras reglas comunitarias sobre seguridad cibernética, aprobadas por el Parlamento europeo el pasado 6 de julio.
Los países deberán designar empresas esenciales
La nueva normativa establece obligaciones para los
?operadores de servicios esenciales? en sectores como el energético, del
transporte, servicios sanitarios, banca y suministro de agua. Las
autoridades nacionales deberán identificar a las compañías clave, usando
criterios específicos, por ejemplo, si el servicio es clave para la
sociedad y la economía y si un incidente podría generar perturbaciones
en la distribución de ese servicio.
Algunos proveedores de servicios digitales ?comercio en
línea, motores de búsqueda y servicios en la nube- también tendrán que
adoptar medidas para garantizar la seguridad de su infraestructura y
deberán informar en caso de incidentes destacados a las autoridades. Las
exigencias de seguridad y notificación son, no obstante, menos
estrictas para estos operadores. Las micro empresas y las compañías
pequeñas estarán exentas.
Mecanismos de cooperación paneuropea
La directiva prevé el establecimiento de un ?grupo de
cooperación? para intercambiar información y asistir a los países
miembros en el desarrollo de sus herramientas de ciberseguridad. Cada
Estado miembro tendrá que adoptar una estrategia en la materia.
Los países también tendrán que crear una red de equipos
de respuesta ante incidentes de seguridad informática para gestionar
riesgos y fallos, discutir cuestiones de seguridad transfronteriza y
desarrollar respuestas coordinadas. La Agencia europea de seguridad en
las redes (ENISA) desempeñará un papel clave en la aplicación de las
nuevas normas, particularmente en el tema de la cooperación. El respeto a
la protección de datos es fundamental, según se reitera en el texto.
Tras recibir el visto bueno del pleno, la directiva se publicará en el
Diario Oficial y entrará en vigor veinte días después. Los Estados
miembros tendrán 21 meses para trasladarla a la legislación nacional y
seis meses más para identificar a los operadores de servicios
esenciales.