El Parlamento Europeo aprueba su posición sobre la directiva NIS 2 y el reglamento DORA

La Comisión Europea presentó, el 24-9-2020, la propuesta del reglamento sobre la resiliencia operativa digital del sector financiero, conocido como reglamento DORA.

Asimismo, el 16-12-2020, presentó la propuesta de directiva sobre medidas destinadas a asegurar un elevado nivel común de ciberseguridad, conocida como directiva NIS 2.

En mayo de 2022, el Parlamento Europeo y el Consejo de la Unión Europea llegaron a un acuerdo provisional sobre ambas propuestas, aprobadas finalmente por el Parlamento Europeo el 10-11-2022,^{1 y 2} como paso del proceso legislativo.

A continuación, se resumen brevemente ambas iniciativas:

Directiva NIS 2

El texto de esta futura directiva, sobre el que el Parlamento ha aprobado su posición, recoge:

• obligaciones de ciberseguridad más estrictas para la gestión de riesgos,
• obligaciones de presentación de informes, y
• mecanismos de cooperación e intercambio de información entre las autoridades de los Estados miembros.

Afectará a los siguientes sectores:

• Entidades esenciales: energía, transporte, banca, sanidad, infrastructura digital, administración pública y el sector espacial, entre otras.
• Entidades importantes: servicios postales y de mensajería, gestión de residuos, fabricación, producción y distribución de sustancias y mezclas químicas, los alimentos, la fabricación de dispositivos médicos, la electrónica, la maquinaria, los vehículos motorizados y los proveedores digitales, entre otros.

Reglamento DORA

El objetivo principal de este reglamento es reforzar la seguridad informática de entidades financieras mediante requisitos homogéneos en todos los Estados miembros de la Unión Europea, que obligan a las empresas a asegurar que pueden resistir, responder y recuperarse de amenazas relacionadas con las tecnologías de la información y de las comunicaciones.

El reglamento, cuando se promulgue, afectará, entre otras, a los siguientes tipos de entidades:

• entidades de crédito,
• entidades de pago,
• proveedores de servicios de información de cuentas
• entidades de dinero electrónico,
• empresas de servicios de inversión,
• proveedores de servicios de criptoactivos,
• depositarios centrales de valores y contrapartidas centrales,
• gestores de fondos de inversión alternativa
• entidades gestoras,
• compañías e intermediarios de seguros y reaseguros,
• organismos de previsión para la jubilación,
• agencias de calificación crediticia, o
• proveedores del servicio de suministro de datos.

Próximos pasos

Tras la posición aprobada sobre estas nuevas normas, el Parlamento:

• solicita a la Comisión Europea que valore la necesidad de modificar la propuesta y, en su caso, remitirle el nuevo texto, y
• transmite el texto aprobado al Consejo de la Unión Europea, a la Comisión Europea y a los parlamentos de los Estados miembros.

El Consejo de la Unión Europea deberá aprobar formalmente ambas propuestas antes de su publicación en el Diario Oficial de la Unión Europea.