¿Cuáles serán en 2022 los principales desarrollos normativos en materia de ciberseguridad?

2021-12-30T10:18:00
Unión Europea

Avance de las novedades esperadas en 2022 en regulación de la ciberseguridad a nivel europeo y nacional

¿Cuáles serán en 2022 los principales desarrollos normativos en materia de ciberseguridad?
30 de diciembre de 2021

La ciberseguridad es un sector en constante cambio y evolución y esperamos que el año 2022 aporte novedades significativas en este campo. A este respecto cabe destacar tres desarrollos normativos a nivel de la Unión Europea, así como un Proyecto de Ley a nivel nacional.

Empezando por las iniciativas legislativas europeas, queremos mencionar los desarrollos que, bajo nuestro punto de vista, tienen una mayor relevancia y que es probable que acaben siendo aprobados a lo largo del 2022:

> La iniciativa sobre resiliencia operativa digital para el sector financiero de la UE (conocida como normativa DORA, por las siglas de Digital Operational Resilience Act) que fue incluida por la Comisión Europea en el listado de propuestas prioritarias pendientes para el 2022 en las que la Comisión desea que el Parlamento y el Consejo actúen con rapidez.

La iniciativa DORA incluye tanto una propuesta de Directiva como de Reglamento y resultará aplicable a todas las consideradas como entidades financieras, lo que incluye, entre otras, entidades de crédito, entidades de pago, proveedores de servicios de criptomonedas, auditores de cuentas, proveedores de servicios de crowdfunding, proveedores de servicios de comunicación de datos y proveedores de servicios de sistemas de información y comunicación tecnológicos (“TIC”).

Esta propuesta de regulación incluye aspectos como, entre otros, el marco de gestión y control de riesgo que se deben adoptar, los sistemas de comunicación de incidentes o brechas relacionados con esta tipología de servicios, sistemas de comprobación de su seguridad, gestión de riesgos de terceras partes relacionadas con este sector y los acuerdos de intercambio de información entre las entidades financieras en relación con todos los potenciales riesgos de los que tengan conocimiento y estén relacionados con los sistemas TIC.

Esta normativa parece ser un indicador de lo que podría ser el futuro de la estructura de la regulación europea en materia de ciberseguridad que evoluciona hacía una subregulación sectorial mediante la aprobación de normativas específicas en materia de ciberseguridad para cada uno de los sectores que son considerados críticos.

> Proyecto de Directiva NIS II (por sus siglas en inglés Network and Information Security Directive) cuyo objetivo es mejorar la ciberresiliencia empresarial a nivel europeo, para lo que amplia su ámbito de aplicación respecto a su anterior versión y realiza una distribución de competencias y obligaciones en materia de ciberseguridad entre los Estados miembros y las autoridades competentes.

Para un mayor análisis del contenido de la última versión publicada de esta directiva se consultar la anterior entrada en el blog aquí.

> La propuesta de Directiva sobre resiliencia de entidades críticas que fue publicada el 16 de diciembre de 2020 –como parte de la nueva estrategia de seguridad de la UE– y que, de forma parecida a la Directiva NIS II, se centra en aumentar los deberes de los Estados miembros en materia de gestión de riesgos tecnológicos y amplia el ámbito de aplicación de la anterior directiva de infraestructuras críticas a nuevos sectores.

Junto a estas iniciativas europeas, entre las novedades que se esperan a nivel nacional hay cabe mencionar la tramitación del Anteproyecto de Ley sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de 5G.

Dicho anteproyecto fue sometido al trámite de Audiencia e información públicas cuyo plazo para presentar aportaciones finalizó el 14 de enero de 2021 y recientemente ha sido objeto de Informe por parte de la CNMC, por lo que podemos esperar que sea aprobado con carácter definitivo en los próximos meses.

Cabe destacar que dicho Anteproyecto impone obligaciones no solo para los operadores de telecomunicaciones sino también para otros actores en este sector, como son los suministradores, fabricantes y usuarios corporativos. Un análisis pormenorizado de este desarrollo normativo puede verse esta entrada del blog. A las recientes recomendaciones de la CNMC nos hemos referido en esta otra entrada.

Salta a la vista que esperamos un año movido en cuanto a novedades del sector de la ciberseguridad, aspecto que no debería sorprendernos ya que, como recordábamos al principio, es un sector de elevada actualidad y altamente cambiante.

30 de diciembre de 2021