Las normas cibernéticas actualizadas entrarán en vigor en una semana, pero hasta ahora solo dos de los 27 estados miembros han notificado a la Comisión Europea sobre sus leyes nacionales de implementación.
Sólo Bélgica y Croacia han notificado oficialmente a la Comisión Europea sobre su transposición de las normas actualizadas de ciberseguridad de la UE para entidades críticas, una semana antes de la fecha límite, dijo a Euronews un portavoz de la Comisión.
“Hasta el momento, la Comisión ha recibido la notificación de la transposición completa de la NIS2 al derecho nacional por parte de Bélgica y de la transposición parcial por parte de Croacia”, dijo un portavoz sin poder hacer más comentarios, ya que “el proceso está en curso”.
Los 25 países restantes tienen hasta el 17 de octubre para implementar la Directiva de Seguridad de las Redes y de la Información 2 (NIS2), que se aprobó en 2022 con el objetivo de proteger entidades críticas, como la energía, el transporte, la banca, el agua y las infraestructuras digitales, contra incidentes cibernéticos importantes.
En marzo, Euronews informó de que Croacia era el primer y único país que había notificado a la Comisión su transposición parcial. La situación del país sigue siendo la misma.
Multas de hasta 10 millones de euros
La Comisión propuso la revisión del NIS1, destinada a reforzar la resiliencia de las redes y los sistemas de información en toda Europa frente a los riesgos de ciberseguridad, con el objetivo de mantenerse al día con la creciente digitalización y un panorama de amenazas de ciberseguridad en evolución.
Según un portavoz del ejecutivo comunitario, la primera directiva presentada en 2016 no ha conseguido hasta ahora mejorar la ciberresiliencia de las empresas que operan en la UE y no ha promovido una respuesta conjunta a las crisis.
Las empresas deben emitir una advertencia dentro de las 24 horas y entregar un informe de incidentes dentro de las 72 horas en caso de incidentes que causen interrupciones operativas graves.
En caso de incumplimiento, las empresas se enfrentan a multas de hasta 10 millones de euros o el 2% de sus ingresos mundiales, lo que sea mayor.
Las empresas carecen de concienciación
El comité parlamentario mixto francés de asuntos digitales y postales dijo en un informe publicado el jueves pasado que mientras que el NIS 1 afectaba a casi 600 entidades, el NIS 2 cambiará la escala a casi 15.000 entidades.
El comité consultó a las partes interesadas, incluida la oficina nacional de ciberseguridad, los productores de software y las asociaciones de la nube, entre marzo y mayo, y concluyó que la fecha límite de transposición “plantea una serie de desafíos” para las empresas que ahora están dentro del alcance.
“La mayoría de las nuevas entidades afectadas desconocen las medidas y los criterios que deberán analizar ellas mismas para determinar su cumplimiento”, indicó.
Añade que “el proyecto de ley aún no ha sido presentado al Consejo de Ministros y, acercándose la fecha del 17 de octubre de 2024, su futuro es incierto”.
También en Alemania está previsto que la ley de aplicación se apruebe a principios de 2025.