Las regulaciones se aplican en todos los países de la Unión tan pronto como son aprobadas, sin necesidad de ser transpuestas a legislación nacional como suceden con las directivas. El proceso legislativo ordinario en la UE comienza en la Comisión Europea, que elabora una propuesta legislativa. En esa propuesta, los ciudadanos, las empresas y las organizaciones presentes en la UE pueden participar en consultas públicas para hacer valer su opinión. Ese borrador es revisado por dos instituciones con igual peso: el Parlamento Europeo, elegido en las elecciones europeas por los ciudadanos de la Unión, y el Consejo de Europa, formado por representantes de los 27 gobiernos de la UE. Ambas instituciones tienen que estar de acuerdo con el texto legislativo a aprobar, bien en su primera o en su segunda lectura.

NIS2

En el campo de la ciberseguridad, el 6 de julio de 2016 el Parlamento Europeo aprobó la Directiva 2016/1148 sobre la Seguridad en Redes y Sistemas de Información, más conocida como la Directiva NIS. La primera ley europea sobre ciberseguridad. Todos los estados de la Unión estaban obligados a transponer esta directiva antes del 9 de mayo de 2018. En julio de 2020 se abrió un proceso de consulta para una directiva revisada (NIS2), en línea con la prioridad de la Comisión de preparar a Europa para la era digital. En diciembre de 2020, la Comisión Europea presentó el borrador de NIS2, casualmente con elementos que, sólo unos meses más tarde, se han revelado esenciales para atravesar tiempos de pandemia. NIS2 añade más sectores críticos para la economía, como son los servicios logísticos, la gestión de residuos, la alimentación y los productos farmacéuticos. También otorga a los estados miembros la posibilidad de identificar como críticas a pequeñas entidades con riesgo alto de seguridad. Asimismo, elimina la distinción entre operadores de servicios esenciales y proveedores de servicios digitales, asumiendo así la imparable digitalización de toda nuestra sociedad. NIS2 también refuerza la necesidad de las empresas de gestionar su riesgo tecnológico y es más precisa en el reporte de incidentes. Asimismo, propone la gestión del riesgo de la cadena de valor y de proveedores. La mejora en la gestión de vulnerabilidades y de incidentes de seguridad es también objetivo de NIS2.

DORA

En el mundo de las instituciones financieras, el 24 de septiembre de 2020 la Comisión Europea publicó el borrador de la Regulación sobre Resiliencia Operacional para el sector de servicios financieros de la UE (DORA). La primera buena noticia es que se trata de una regulación de aplicación directa y no de una directiva que requiere transposición en cada país de la Unión. La segunda buena noticia es que DORA es calificada como “lex specialis”, es decir, está alineada con la directiva NIS2 y tiene prioridad sobre ella. En otras palabras, DORA instrumenta la adopción de NIS2 en el sector financiero.

DORA profundiza en la necesidad de mejorar la gestión y el reporte de incidentes de seguridad, así como la gestión del riesgo tecnológico y su gobernanza. Un elemento esencial es la gestión de los proveedores críticos de servicios de información, como son los servicios de nube pública. DORA propone la supervisión de dichos proveedores por parte de las instituciones de supervisión europeas del sector financiero. Con estas medidas, el potencial de mejora de la resiliencia del sector financiero es patente. Es evidente que NIS2 y DORA son, potencialmente, un gran paso hacia adelante. No obstante, el proceso de elaboración y, sobre todo, de aprobación de legislación europea, requiere de tantos acuerdos y compromisos que, en campos tan estratégicos como la ciberseguridad, sólo podremos evaluar el éxito de esta campaña cuando podamos leer el texto final de ambas leyes. Invito a todos los lectores a seguir en el sitio web de la Comisión Europea eur-lex.europa.eu el procedimiento 2020/0359/COD para NIS2 y el 2020/0266/COD para DORA. Actualmente ambos están en las discusiones de su primera lectura en Parlamento Europeo y el Consejo de Europa. Crucemos fuertemente los dedos.