ETNO reconoce los avances realizados por los gobiernos de la UE con las medidas propuestas para un alto nivel común de ciberseguridad de redes y sistemas de información (Directiva “NIS 2”). Sin embargo, apunta que el Enfoque General aprobado en el Consejo de Telecomunicaciones abre la puerta a discusiones interinstitucionales con el Parlamento Europeo, con miras a la adopción de normas que refuercen la resiliencia de sectores socioeconómicos críticos en el mercado interior.
ETNO ha visto la Directiva NIS 2 como una oportunidad para lograr un marco coherente para la seguridad de las redes y los servicios en el sector de las telecomunicaciones que simplifica el panorama existente de las normas europeas y nacionales, que en algunos casos han llevado a la inseguridad jurídica y la fragmentación debido a las diferencias en las leyes de seguridad de los mercados de la UE. Con este fin, sería imperativo que los colegisladores garantizaran una gestión de riesgos clara y proporcionada y obligaciones de notificación de incidentes, así como un sistema de supervisión y ejecución sensato que se base en la dilatada experiencia del sector de las telecomunicaciones en la protección de la integridad de infraestructuras cruciales. Sin embargo, siguen sin resolverse algunas deficiencias de la directiva propuesta.
En concreto, lamentan que no se atiendan las lagunas en la seguridad de las cadenas de suministro de TIC críticas. Las cadenas de suministro se están volviendo más complejas y globales, con una multitud de actores involucrados. Las redes de telecomunicaciones se están volviendo más sofisticadas debido al cambio a 5G y a una infraestructura virtualizada, definida por software y basada en la nube. Las empresas de telecomunicaciones, al igual que todas las organizaciones de todos los sectores, dependen cada vez más de los servicios de TIC, especialmente del software, lo que significa que el papel de los proveedores de estos servicios en la determinación de la resiliencia de la infraestructura digital se ha vuelto esencial. Esto debe traducirse en una asignación más eficaz de la responsabilidad de la gestión de riesgos de las redes y los sistemas de TI de los sectores clave, ya que los proveedores de TIC están en la mejor posición para analizar y mitigar los riesgos de seguridad en sus propios productos y servicios.
La decisión de los Estados miembros de ampliar el alcance de las obligaciones del NIS 2 a la gestión de servicios de TIC de empresa a empresa, incluidos los proveedores de servicios gestionados y los proveedores de servicios de seguridad gestionados, marca un paso positivo al introducir obligaciones de información y gestión de riesgos directos sobre estos proveedores de servicios clave. Sin embargo, esta nueva categoría excluye a los proveedores de software y firmwareque respaldan las funciones críticas realizadas por las entidades reguladas y que, con frecuencia, se convierten en parte integral de las redes y servicios que se brindan a los ciudadanos y empresas europeos.
Mientras los colegisladores se preparan para embarcarse en las negociaciones para finalizar la Directiva, ETNO les pide que reflejen adecuadamente la importancia de la seguridad de la cadena de suministro, adoptando una visión más amplia a los proveedores de servicios de TIC y proporcionando un marco de ciberseguridad integral y preparado para el futuro para todos los proveedores TIC, en beneficio de la resiliencia general de los sectores vitales de la economía y la sociedad europeas.
