El pasado viernes 3 de diciembre de 2021, el Consejo acordó su posición sobre la futura norma sobre medidas para un elevado nivel común de ciberseguridad en toda la UE, a fin de seguir mejorando la resiliencia y las capacidades de respuesta ante incidentes tanto del sector público como del privado y de la UE en su conjunto. Con este instrumento, la UE busca sentar unas las bases sólidas en la gestión de riesgos de ciberseguridad y fijar las obligaciones de información en todos los sectores cubiertos por la Directiva (entre otros, la energía, el transporte, la salud o la infraestructura digital).
La principal novedad introducida por esta normativa, que sustituirá a la actual Directiva (UE) 2016/1148, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, es la determinación del tamaño de las entidades medianas y grandes que entran en su ámbito de aplicación al operar en los sectores o prestan servicios cubiertos por la Directiva. Hasta la fecha, eran los Estados miembros los encargados de establecer qué entidades cumplían los requisitos para ser declaradas como esenciales.
Asimismo, la Directiva NIS2 se aplicará también a las administraciones públicas de los gobiernos centrales debido al rápido aumento del número de ciberataques que también está sufriendo el sector público. Además, los Estados miembros pueden decidir que se aplique también a dichas entidades a nivel regional y local. Por el contrario, quedan excluidas de su ámbito de aplicación las entidades que lleven a cabo actividades en ámbitos como la defensa o la seguridad nacional, la seguridad pública, la aplicación de la ley, el poder judicial, los parlamentos y los bancos centrales.
Tras esta orientación general, el Consejo comenzará las negociaciones con el Parlamento Europeo con el fin de adoptar el texto definitivo. Una vez aprobada, Estados miembros dispondrán de un plazo de dos años a partir de su entrada en vigor para incorporarla a su Derecho interno.