Una breve introducción al proceso legislativo europeo de la mano de NIS2 y DORA

Los ejecutivos de multinacionales europeas y jefes de gobierno de distintos países nos recuerdan que, en estos tiempos de crisis, necesitamos “más Europa”: una receta para poder competir en un mundo multipolar con potencias cuyas poblaciones son más jóvenes que las nuestras y cuyas economías crecen más rápido. La estrategia de digitalización de la Unión Europea trae consigo potenciales mejoras legislativas relacionadas con la ciberseguridad. Por delante hay, sin embargo, un complejo camino que recorrer hasta que, finalmente, se conviertan en realidad. Hablemos de dos leyes en proceso de aprobación para mejorar la ciberseguridad en Europa: NIS2 y DORA. Para explicar el desafío desgrano, paso a paso, el proceso legislativo en la Unión Europea (UE): Las piezas más importantes del entramado legal europeo son los tratados, también llamada legislación primaria. Los tratados han de ser aprobados por todos los países de la UE y ratificados por sus respectivos parlamentos. El cuerpo legislativo que se crea a partir de los tratados se conoce como legislación secundaria e incluye regulaciones, directivas, decisiones, recomendaciones y opiniones legales.

Las regulaciones se aplican en todos los países de la Unión tan pronto como son aprobadas, sin necesidad de ser transpuestas a legislación nacional como suceden con las directivas. El proceso legislativo ordinario en la UE comienza en la Comisión Europea, que elabora una propuesta legislativa. En esa propuesta, los ciudadanos, las empresas y las organizaciones presentes en la UE pueden participar en consultas públicas para hacer valer su opinión. Ese borrador es revisado por dos instituciones con igual peso: el Parlamento Europeo, elegido en las elecciones europeas por los ciudadanos de la Unión, y el Consejo de Europa, formado por representantes de los 27 gobiernos de la UE. Ambas instituciones tienen que estar de acuerdo con el texto legislativo a aprobar, bien en su primera o en su segunda lectura.

NIS2

En el campo de la ciberseguridad, el 6 de julio de 2016 el Parlamento Europeo aprobó la Directiva 2016/1148 sobre la Seguridad en Redes y Sistemas de Información, más conocida como la Directiva NIS. La primera ley europea sobre ciberseguridad. Todos los estados de la Unión estaban obligados a transponer esta directiva antes del 9 de mayo de 2018. En julio de 2020 se abrió un proceso de consulta para una directiva revisada (NIS2), en línea con la prioridad de la Comisión de preparar a Europa para la era digital. En diciembre de 2020, la Comisión Europea presentó el borrador de NIS2, casualmente con elementos que, sólo unos meses más tarde, se han revelado esenciales para atravesar tiempos de pandemia. NIS2 añade más sectores críticos para la economía, como son los servicios logísticos, la gestión de residuos, la alimentación y los productos farmacéuticos. También otorga a los estados miembros la posibilidad de identificar como críticas a pequeñas entidades con riesgo alto de seguridad. Asimismo, elimina la distinción entre operadores de servicios esenciales y proveedores de servicios digitales, asumiendo así la imparable digitalización de toda nuestra sociedad. NIS2 también refuerza la necesidad de las empresas de gestionar su riesgo tecnológico y es más precisa en el reporte de incidentes. Asimismo, propone la gestión del riesgo de la cadena de valor y de proveedores. La mejora en la gestión de vulnerabilidades y de incidentes de seguridad es también objetivo de NIS2.

DORA

En el mundo de las instituciones financieras, el 24 de septiembre de 2020 la Comisión Europea publicó el borrador de la Regulación sobre Resiliencia Operacional para el sector de servicios financieros de la UE (DORA). La primera buena noticia es que se trata de una regulación de aplicación directa y no de una directiva que requiere transposición en cada país de la Unión. La segunda buena noticia es que DORA es calificada como “lex specialis”, es decir, está alineada con la directiva NIS2 y tiene prioridad sobre ella. En otras palabras, DORA instrumenta la adopción de NIS2 en el sector financiero.

DORA profundiza en la necesidad de mejorar la gestión y el reporte de incidentes de seguridad, así como la gestión del riesgo tecnológico y su gobernanza. Un elemento esencial es la gestión de los proveedores críticos de servicios de información, como son los servicios de nube pública. DORA propone la supervisión de dichos proveedores por parte de las instituciones de supervisión europeas del sector financiero. Con estas medidas, el potencial de mejora de la resiliencia del sector financiero es patente. Es evidente que NIS2 y DORA son, potencialmente, un gran paso hacia adelante. No obstante, el proceso de elaboración y, sobre todo, de aprobación de legislación europea, requiere de tantos acuerdos y compromisos que, en campos tan estratégicos como la ciberseguridad, sólo podremos evaluar el éxito de esta campaña cuando podamos leer el texto final de ambas leyes. Invito a todos los lectores a seguir en el sitio web de la Comisión Europea eur-lex.europa.eu el procedimiento 2020/0359/COD para NIS2 y el 2020/0266/COD para DORA. Actualmente ambos están en las discusiones de su primera lectura en Parlamento Europeo y el Consejo de Europa. Crucemos fuertemente los dedos.

Your browser is out-of-date!

Update your browser to view this website correctly.Update my browser now

×