Proyecto de ley NIS2 bajo consulta | DKCERT
El proyecto de ley NIS2 ahora ha sido sometido a consulta. Fue anunciado el viernes de la semana pasada.
A nivel general, cabe señalar que la fecha de entrada en vigor de la ley está fijada para el 1 de marzo de 2025, es decir, después del primer retraso anunciado el 1 de enero.
La propuesta elabora dos listas de los sectores cubiertos por la ley. Una lista contiene «sectores de especial importancia crítica» e incluye energía, transporte, banca, infraestructuras de mercados financieros, salud, agua potable, aguas residuales, infraestructura digital, gestión de servicios TIC (de empresa a empresa), administración pública y espacio.
La segunda lista contiene «Otros sectores críticos». Se trata de servicios postales y de mensajería, gestión de residuos, fabricación, producción y distribución de productos químicos y alimenticios, fabricación de otros productos como equipos médicos, ordenadores, etc., equipos eléctricos, máquinas, vehículos de motor y otros medios de transporte, etc. Además, existen «proveedores digitales» e «investigaciones». Por investigación se entiende «organización de investigación», que se define como «…una entidad cuyo objetivo principal es llevar a cabo investigación aplicada o desarrollo con miras a explotar los resultados de esta investigación con fines comerciales». No incluye instituciones educativas.”
A esto se añaden los comentarios del proyecto de ley: «En lo que respecta a las instituciones educativas, se espera principalmente que sea pertinente poner en vigor las normas para las universidades cubiertas por la Ley de Universidades, cf. Decreto Legislativo nº 778, de 7 de agosto 2019. Sin embargo, no se puede descartar que la ley también entre en vigor para otras instituciones de educación superior en la medida en que sean evaluadas para llevar a cabo actividades de investigación críticas”.
Enorme trabajo
El proyecto de ley es un trabajo enorme de 325 páginas. Si tienes el valor de profundizar en ello, podrás ver, por ejemplo, en el capítulo 1 los criterios que hacen que una empresa esté cubierta por la ley. El capítulo 1 también contiene una relación explicativa de los conceptos y elementos utilizados en el proyecto de ley.
Definido aquí, por ejemplo una amenaza cibernética como «… cualquier circunstancia, evento o acción potencial que pueda dañar, interrumpir o de otro modo afectar negativamente a las redes y los sistemas de información, a los usuarios de dichos sistemas y a otras personas». Un incidente se define como «Un evento que pone en peligro la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o procesados o de los servicios ofrecidos o accesibles a través de redes y sistemas de información».
Los capítulos 2, 3 y 4 contienen una lista de obligaciones que tienen las empresas cubiertas, mientras que los capítulos 6 y 9 describen qué supervisión y qué sanciones pueden esperar las entidades cubiertas.
Si no se tiene el valor de pasar el período estival en NIS2, se recomienda consultar las publicaciones en las redes sociales de los numerosos expertos que han seguido el proceso de negociación y legislativo en los últimos años. O regístrese para muchos de los seminarios web y eventos que se ofrecen después del verano.
DKCERT es parte en la audiencia
El proyecto de ley se refiere a una implementación mínima de la directiva NIS2, lo que implica que no se introduce ninguna regulación danesa que vaya más allá de los requisitos de la directiva. El Centro de Seguridad Cibernética escribe en su sitio web que «la implementación se lleva a cabo mediante el Ministerio de Defensa que presenta una ley principal que crea un marco básico común para la implementación de NIS2 en todos los sectores. La ley principal autorizará a los ministerios competentes (el autoridades responsables del sector) para especificar los requisitos NIS2 en los avisos.»
DKCERT está incluido en la lista de consulta que el Ministerio de Defensa ha publicado en relación con la consulta sobre el proyecto de ley. Dentro del sector de educación e investigación, DeiC, las universidades danesas, NORDUnet A/S y la universidad de TI también se encuentran entre los socios consultores. DKCERT está coordinando una respuesta de consulta en colaboración con los CISO de las ocho universidades danesas y DeiC.
El proyecto de ley, la lista de consultas y la carta de consulta han sido publicados en el portal de consultas.