Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión

Fecha de Entrada en Vigor: 8 de Agosto de 2016
Sección:Directiva
Emisor:Parlamento Europeo y Consejo de la Unión Europea
 
EXTRACTO GRATUITO

19.7.2016 ES Diario Oficial de la Unión Europea L 194/1

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 114,

Vista la propuesta de la Comisión Europea,

Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,

Visto el dictamen del Comité Económico y Social Europeo (1),

De conformidad con el procedimiento legislativo ordinario (2),

Considerando lo siguiente:

(1) Las redes y sistemas de información desempeñan un papel crucial en la sociedad. Su fiabilidad y seguridad son esenciales para las actividades económicas y sociales, y en particular para el funcionamiento del mercado interior.

(2) La magnitud, la frecuencia y los efectos de los incidentes de seguridad se están incrementando y representan una grave amenaza para el funcionamiento de las redes y sistemas de información. Esos sistemas pueden convertirse además en objetivo de acciones nocivas deliberadas destinadas a perjudicar o interrumpir su funcionamiento. Este tipo de incidentes puede interrumpir las actividades económicas, generar considerables pérdidas financieras, menoscabar la confianza del usuario y causar grandes daños a la economía de la Unión.

(3) Las redes y sistemas de información, principalmente internet, contribuyen de forma decisiva a facilitar la circulación transfronteriza de productos, servicios y personas. Debido a ese carácter transnacional, una perturbación grave de esas redes y sistemas, ya sea o no deliberada, y con independencia del lugar en que se produzca, puede afectar a diferentes Estados miembros y a la Unión en su conjunto. Por consiguiente, la seguridad de las redes y sistemas de información es fundamental para el correcto funcionamiento del mercado interior.

(4) Partiendo de los significativos avances logrados en el marco del Foro Europeo de Estados miembros, que ha permitido promover discusiones e intercambios de información sobre buenas prácticas políticas, incluida la elaboración de principios de cooperación europea ante crisis cibernéticas, procede establecer un Grupo de cooperación compuesto por representantes de los Estados miembros, la Comisión y la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA) a fin de respaldar y facilitar la cooperación estratégica entre los Estados miembros en lo relativo a la seguridad de las redes y sistemas de información. Para que dicho grupo sea eficaz e integrador, es esencial que todos los Estados miembros posean unas capacidades mínimas y una estrategia que garanticen un elevado nivel de seguridad de las redes y sistemas de información en su territorio. Por otra parte, los operadores de servicios esenciales y los proveedores de servicios digitales deben estar sujetos a requisitos en materia de seguridad y notificación de incidentes, con el fin de fomentar una cultura de gestión de riesgos y garantizar que se informe de los incidentes más graves.

(5) Las capacidades existentes no bastan para garantizar un elevado nivel de seguridad de las redes y sistemas de información en la Unión. Los niveles de preparación de los Estados miembros son muy distintos, lo que ha dado lugar a planteamientos fragmentados en la Unión. Esta situación genera niveles desiguales de protección de los consumidores y las empresas, comprometiendo el nivel general de seguridad de las redes y sistemas de información de la Unión. A su vez, la inexistencia de requisitos comunes aplicables a los operadores de servicios esenciales y los proveedores de servicios digitales imposibilita la creación de un mecanismo global y eficaz de cooperación en la Unión. Las universidades y los centros de investigación tienen un papel determinante que desempeñar a la hora de impulsar la investigación, el desarrollo y la innovación en esos ámbitos.

(6) Para dar una respuesta efectiva a los problemas de seguridad de las redes y sistemas de información es necesario un planteamiento global en la Unión que integre requisitos mínimos comunes en materia de desarrollo de capacidades y planificación, intercambio de información, cooperación y requisitos comunes de seguridad para los operadores de servicios esenciales y los proveedores de servicios digitales. No obstante, no está excluido que los operadores de servicios esenciales y los proveedores de servicios digitales apliquen medidas de seguridad más estrictas que las previstas en la presente Directiva.

(7) Para cubrir todos los incidentes y riesgos pertinentes, la presente Directiva debe aplicarse tanto a los operadores de servicios esenciales como a los proveedores de servicios digitales. Sin embargo, las obligaciones impuestas a los operadores de servicios esenciales y a los proveedores de servicios digitales no deben aplicarse a empresas que suministren redes públicas de comunicaciones o presten servicios de comunicaciones electrónicas disponibles para el público en el sentido de la Directiva 2002/21/CE del Parlamento Europeo y del Consejo (3), que están sujetas a los requisitos específicos de seguridad e integridad establecidos en dicha Directiva, como tampoco a los prestadores de servicios de confianza definidos en el Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo (4), que están sujetos a los requisitos de seguridad establecidos en dicho Reglamento.

(8) La presente Directiva debe entenderse sin perjuicio de que los Estados miembros puedan adoptar las medidas necesarias para garantizar la protección de los intereses esenciales de su seguridad, preservar el orden público y la seguridad pública, y permitir la investigación, detección y enjuiciamiento de infracciones penales. De conformidad con el artículo 346 del Tratado de Funcionamiento de la Unión Europea (TFUE), ningún Estado miembro está obligado a facilitar información cuya divulgación considere contraria a los intereses esenciales de su seguridad. En este contexto, son relevantes la Decisión 2013/488/UE del Consejo (5) y los acuerdos sobre confidencialidad o los acuerdos informales sobre confidencialidad como el Protocolo para el intercambio de información.

(9) Determinados sectores de la economía ya están ya regulados o pueden regularse en el futuro mediante actos jurídicos sectoriales de la Unión que incluyan normas relacionadas con la seguridad de las redes y sistemas de información. Siempre que esos actos jurídicos de la Unión contengan disposiciones por las que se impongan requisitos en materia de seguridad de las redes y sistemas de información o en materia de notificación de incidentes, dichas disposiciones deben aplicarse en lugar de las disposiciones correspondientes de la presente Directiva si contienen requisitos cuyos efectos sean, como mínimo, equivalentes a los de las obligaciones que establece la presente Directiva. En tales casos, los Estados miembros deben aplicar lo dispuesto en los mencionados actos jurídicos sectoriales de la Unión, incluidos los relativos a cuestiones de competencia judicial, y no deben llevar a cabo el proceso de identificación de los operadores de servicios esenciales, tal como se definen en la presente Directiva. En este contexto, los Estados miembros deben facilitar a la Comisión información sobre la aplicación de dichas disposiciones con carácter de lex specialis. A la hora de determinar si los requisitos en materia de seguridad de las redes y sistemas de información o en materia de notificación de incidentes establecidos en los actos jurídicos sectoriales de la Unión son o no equivalentes a los que se establecen en la presente Directiva, debe tenerse únicamente en cuenta lo dispuesto en los actos jurídicos de la Unión aplicables y su aplicación en los Estados miembros.

(10) En el sector del transporte marítimo y fluvial, los requisitos de seguridad que imponen los actos jurídicos de la Unión a las compañías, buques, instalaciones portuarias, puertos y servicios de gestión del tráfico de buques se aplican a la totalidad de las operaciones, incluidas las de los sistemas de radio y telecomunicaciones, los sistemas informáticos y las redes. Una parte de los procedimientos obligatorios que han de seguirse se refiere a la notificación de todos los incidentes de seguridad, y debe, por tanto, considerarse lex specialis en la medida en que dichos requisitos sean al menos equivalentes a las disposiciones correspondientes de la presente Directiva.

(11) Al identificar a los operadores del sector del transporte marítimo y fluvial, los Estados miembros deben tener en cuenta los códigos y directrices internacionales existentes o que se puedan elaborar en el futuro, en particular, por parte de la Organización Marítima Internacional, con el fin de proporcionar a los diferentes operadores marítimos un planteamiento coherente.

(12) La regulación y la supervisión del sector bancario y de las infraestructuras de los mercados financieros han sido objeto de una elevada armonización en la Unión mediante el recurso al Derecho primario y al Derecho derivado de la Unión y a normas elaboradas junto con las autoridades europeas de supervisión. Dentro de la Unión Bancaria, el Mecanismo Único de Supervisión garantiza la aplicación y supervisión de dichos requisitos. En los Estados miembros que no forman parte de la Unión Bancaria, son los reguladores bancarios competentes de cada Estado miembro los que garantizan dicha función. En otros ámbitos de regulación del sector financiero, el Sistema Europeo de Supervisión Financiera también garantiza un alto grado de uniformidad y convergencia de las prácticas de supervisión. La Autoridad Europea de Valores y Mercados también desempeña una función directa de supervisión para determinadas entidades, concretamente las agencias de calificación crediticia y los registros de operaciones.

(13) El riesgo operativo es un componente fundamental de la regulación y la supervisión prudenciales en los sectores de la banca y las infraestructuras del mercado financiero. Dicho riesgo se extiende a...

Para continuar leyendo

SOLICITA TU PRUEBA