El omnipresente Mercado Único Digital se ha convertido en uno de los ámbitos más prometedores y desafiantes para el desarrollo de la economía europea y su contribución al PIB de la UE se estima en 415.000 millones de euros.
En mayo del pasado año se publicó la Estrategia de la Comisión Europea para el Mercado Único Digital, con una hoja de ruta de dieciséis acciones clave a adoptar antes de finales de 2016, entre las que se incluye la reciente Directiva 2016/1148 en materia de Ciberseguridad, también conocida como Directiva NIS, con el objetivo de facilitar el desarrollo del mercado interior.
Conforme a una reciente encuesta de PwC, al menos el 80% de las empresas europeas han experimentado como mínimo un incidente de ciberseguridad en el último año y el número de incidentes de seguridad registrados en los sectores industriales a nivel mundial aumentó un 38% en 2015.
Debido a la contribución decisiva de las redes y sistemas de información, principalmente internet, en la circulación transfronteriza de productos, servicios y personas, este tipo de incidentes perjudican gravemente a las empresas, incluidas las PYMEs, al interrumpir las actividades económicas, generar considerables pérdidas financieras, menoscabar la confianza de los consumidores y usuarios y, de este modo, causar grandes daños a la economía digital de la UE.
El objetivo global de esta Directiva es generar un nivel equiparable de protección de los consumidores y empresas en toda la UE mediante la adopción de medidas para que los operadores de servicios esenciales, ya sean entidades privadas o Administraciones Públicas, así como algunos proveedores de servicios digitales, gestionen los riesgos en materia de seguridad de las redes de comunicación y sistemas de información, principalmente internet, con independencia de si se encargan ellos mismos de su mantenimiento o lo subcontratan, y notifiquen los incidentes de seguridad que pudieran tener un efecto perturbador significativo.
Cada país deberá identificar qué entidades dentro de su territorio prestan servicios, a través de redes y sistemas de información, en el sector de la energía, transporte, banca, sanidad, infraestructuras de los mercados financieros, suministro y distribución de agua potable e infraestructura digital, que se consideren esenciales para el mantenimiento de actividades sociales y económicas vitales, en los que un incidente potencial tendría un efecto perturbador significativo para la prestación de tales servicios. Con esta finalidad, se deberán tener en cuenta distintos factores, como el número de usuarios que confían en dicho servicio para fines tanto privados como profesionales, así como el tiempo que probablemente tendría que transcurrir antes de que la discontinuidad empiece a tener repercusiones negativas.
La Directiva también se aplica a los prestadores de servicios digitales, como por ejemplo los prestadores de servicios de cloud computing o plataformas de comercio electrónico, cuando se considere que la perturbación del servicio digital puede afectar al correcto funcionamiento de los operadores de servicios esenciales que dependan de ellos.
Para no imponer una carga financiera y administrativa desproporcionada, la Directiva establece la proporcionalidad de las medidas con relación a los riesgos que presente la red y el sistema de información en cada caso, teniendo en cuenta el estado de la técnica, pero debido a que las medidas a adoptar pueden ser de muy diversos tipos (organizativas, tecnológicas, contractuales, etc.) no indica cómo han de ser llevadas a cabo. No obstante lo anterior, la Directiva ha recogido algunos ejemplos, como son la seguridad de los sistemas e instalaciones, la gestión de incidentes y de la continuidad de las actividades, así como la supervisión, auditoría y ensayos.
Los Estados miembros de la UE deberán aplicar todas las medidas contenidas en esta Directiva a partir del 10 de mayo de 2018.