Unión Europea urge a aplicar directiva NIS 2 tras ciberataques en aeropuertos

La Comisión Europea pidió este lunes a los Estados miembros acelerar la incorporación de la directiva NIS 2 a sus legislaciones nacionales, tras el ciberataque que desde el viernes 19 de septiembre afectó a los sistemas de facturación y embarque en varios aeropuertos europeos, entre ellos Berlín-Brandeburgo, Londres-Heathrow y Bruselas.

El portavoz comunitario Thomas Regnier explicó en la rueda de prensa diaria que, aunque los pasajeros todavía enfrentan retrasos y molestias, la seguridad aérea y el control del tráfico aéreo no se han visto comprometidos.

Añadió que la Comisión está trabajando en coordinación con Eurocontrol, la Agencia Europea de Ciberseguridad (ENISA), autoridades nacionales, aeropuertos y aerolíneas para restablecer plenamente las operaciones.

El ataque, identificado como un caso de ransomware, comprometió los sistemas de Collins Aerospace, empresa proveedora de soluciones de check-in y embarque utilizadas por múltiples aerolíneas en Europa. Esta situación obligó a muchas terminales a gestionar de forma manual la facturación de pasajeros y el despacho de equipaje, lo que derivó en largas filas, cancelaciones y retrasos generalizados.

Regnier subrayó que este incidente evidencia la importancia de la directiva NIS 2, normativa que fortalece la ciberseguridad en sectores críticos como el transporte y la aviación.

La disposición establece obligaciones más estrictas para empresas y autoridades, exige notificaciones rápidas de incidentes y contempla sanciones que pueden alcanzar los 10 millones de euros o el 2% de la facturación global en caso de incumplimiento.

“La NIS 2 ha identificado la aviación y el transporte como áreas altamente críticas. Instamos a todos los Estados miembros a transponer rápida y eficazmente esta directiva”, remarcó el portavoz comunitario.

La Directiva NIS 2 es la normativa de la Unión Europea sobre ciberseguridad de redes y sistemas de información, que entró en vigor en enero de 2023 y que los Estados miembros deben transponer a su legislación nacional a más tardar en octubre de 2024.

Sustituye a la primera directiva NIS (de 2016) y busca reforzar la protección frente a ciberataques, mejorar la cooperación entre países y aumentar la resiliencia de sectores estratégicos.

Sus puntos clave son:

1. Ámbito más amplio

   • Incluye no solo a operadores de servicios esenciales (energía, transporte, salud, banca, agua, etc.), sino también a proveedores digitales y a nuevas áreas consideradas críticas, como espacio, administración pública, gestión de residuos, producción de alimentos.

   • El transporte y la aviación están expresamente reconocidos como sectores altamente críticos.

2. Obligaciones más estrictas

   • Las entidades deben aplicar medidas técnicas y organizativas de ciberseguridad (gestión de riesgos, respuesta a incidentes, cifrado, continuidad de negocio, etc.).

   • Deben notificar incidentes graves en un plazo máximo de 24 horas a la autoridad nacional competente.

3. Supervisión y sanciones

   • Las autoridades nacionales de ciberseguridad tendrán más poderes para auditar, inspeccionar y exigir medidas.

   • Se prevén sanciones significativas en caso de incumplimiento (multas de hasta 10 millones de euros o el 2% de la facturación mundial de la empresa, lo que sea mayor).

4. Cooperación entre Estados miembros

   • Crea una red europea de crisis de ciberseguridad para coordinarse en caso de incidentes graves.

   • Refuerza el papel de ENISA (Agencia Europea de Ciberseguridad).

En resumen, la NIS 2 busca que los países de la UE eleven de forma homogénea sus niveles de ciberseguridad y que sectores vitales, como la aviación, tengan planes robustos para prevenir y responder a ataques como el que afectó a Berlín, Londres y Bruselas.