Solo Bélgica y Croacia han notificado oficialmente a la Comisión Europea su transposición de las normas de ciberseguridad actualizadas de la UE para entidades críticas, una semana antes de la fecha límite, dijo a 'Euronews' un portavoz de la Comisión.
"Hasta ahora, la Comisión ha recibido la notificación de la transposición completa de la NIS2 a la legislación nacional por parte de Bélgica y de la transposición parcial por parte de Croacia", dijo un portavoz sin poder hacer más comentarios, ya que "el proceso está en curso".
Los 25 países restantes tienen hasta el 17 de octubre para implementar la Directiva de Seguridad de la Información y de las Redes 2 (NIS2), que se aprobó en 2022 con el objetivo de proteger a las entidades críticas, como la energía, el transporte, la banca, el agua y las infraestructuras digitales, contra incidentes cibernéticos importantes.
En marzo, 'Euronews' informó de que Croacia era el primer y único país que había notificado a la Comisión su transposición parcial. La situación del país sigue siendo la misma.
Multas de hasta 10 millones de euros
La Comisión propuso la revisión de la NIS1, destinada a reforzar la resiliencia de las redes y los sistemas de información en toda Europa frente a los riesgos de ciberseguridad, con el objetivo de mantenerse al día con la creciente digitalización y un panorama de amenazas de ciberseguridad en evolución.Según un portavoz del ejecutivo de la UE, la primera directiva presentada en 2016 no logró hasta ahora mejorar la ciberresiliencia de las empresas que operan en la UE y no promovió una respuesta conjunta a las crisis.
Las empresas deben emitir una advertencia en un plazo de 24 horas y entregar un informe de incidentes en un plazo de 72 horas en caso de incidentes que provoquen interrupciones operativas graves.
En caso de incumplimiento, las empresas se enfrentan a multas de hasta 10 millones de euros, o el 2 % de los ingresos mundiales, lo que sea mayor.
Las empresas no están al corriente
La comisión parlamentaria francesa mixta de asuntos digitales y postales indicó en un informe publicado el jueves pasado que, mientras que la NIS 1 afectaba a casi 600 entidades, la NIS 2 modificará la escala hasta llegar a casi 15.000 entidades.La comisión consultó a las partes interesadas, incluida la oficina nacional de ciberseguridad, los productores de software y las asociaciones de la nube, entre marzo y mayo, y concluyó que la fecha límite de transposición "plantea una serie de desafíos" para las empresas que ahora están dentro del ámbito de aplicación.
La mayoría de las nuevas entidades afectadas no conocen las medidas y los criterios que deberán analizar ellas mismas para determinar su cumplimiento
Añade que "el proyecto de ley aún no se ha presentado al Consejo de Ministros y, con la fecha del 17 de octubre de 2024 acercándose, su futuro es incierto". También en Alemania, el plan para la adopción de la ley de aplicación está previsto para principios de 2025.