contents table Logo Lexparency.es lexp
Directiva (UE) 2016/1148 (NIS)
Network and Information Systems Directive (NIS)
Artículo 1

Artículo 1 — Objeto y ámbito de aplicación

  1. La presente Directiva establece medidas con el objeto de lograr un elevado nivel común de seguridad de las redes y sistemas de información dentro de la Unión a fin de mejorar el funcionamiento del mercado interior.
  2. A tal fin, la presente Directiva:
    1. establece obligaciones para todos los Estados miembros de adoptar una estrategia nacional de seguridad de las redes y sistemas de información;
    2. crea un Grupo de cooperación para apoyar y facilitar la cooperación estratégica y el intercambio de información entre los Estados miembros y desarrollar la confianza y seguridad entre ellos;
    3. crea una red de equipos de respuesta a incidentes de seguridad informática (en lo sucesivo, red de CSIRT, por sus siglas en inglés de computer security incident response teams) con el fin de contribuir al desarrollo de la confianza y seguridad entre los Estados miembros y promover una cooperación operativa rápida y eficaz;
    4. establece requisitos en materia de seguridad y notificación para los operadores de servicios esenciales y para los proveedores de servicios digitales;
    5. establece obligaciones para que los Estados miembros designen autoridades nacionales competentes, puntos de contacto únicos y CSIRT con funciones relacionadas con la seguridad de las redes y sistemas de información.
  3. Los requisitos de seguridad y notificación previstos en la presente Directiva no serán aplicables a las empresas que están sujetas a los requisitos de los artículos 13 bis y 13 ter de la Directiva 2002/21/CE ni a los proveedores de servicios de confianza sujetos a los requisitos del artículo 19 del Reglamento (UE) n.o 910/2014.
  4. La presente Directiva se entenderá sin perjuicio de la Directiva 2008/114/CE del Consejo(1) y las Directivas 2011/93/UE(2) y 2013/40/UE(3) del Parlamento Europeo y del Consejo.
  5. Sin perjuicio de lo dispuesto en el artículo 346 del TFUE, la información que se considere confidencial de acuerdo con las normas de la Unión y nacionales, como las normas sobre confidencialidad empresarial, se intercambiará con la Comisión y otras autoridades competentes únicamente cuando tal intercambio sea necesario a efectos de la aplicación de la presente Directiva. La información que se intercambie se limitará a aquella que resulte pertinente y proporcionada para la finalidad del intercambio. Dicho intercambio de información preservará la confidencialidad de esta y protegerá los intereses de seguridad y comerciales de los operadores de servicios esenciales y de los proveedores de servicios digitales.
  6. La presente Directiva se entenderá sin perjuicio de las acciones emprendidas por los Estados miembros para salvaguardar sus funciones estatales esenciales, en particular para salvaguardar la seguridad nacional, incluidas las acciones que protejan la información cuya revelación los Estados miembros consideren contraria a los intereses esenciales de su seguridad, y para mantener el orden público, en particular para permitir la investigación, la detección y el enjuiciamiento de infracciones penales.
  7. Se aplicará lo dispuesto en un acto jurídico sectorial de la Unión, cuando este requiera que los operadores de servicios esenciales o los proveedores de servicios digitales garanticen la seguridad de sus redes y sistemas de información o notifiquen incidentes, siempre que dichos requisitos tengan al menos un efecto equivalente al de las obligaciones establecidas en la presente Directiva.

(1) Directiva 2008/114/CE del Consejo, de 8 de diciembre de 2008, sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección (DO L 345 de 23.12.2008, p. 75).

(2) Directiva 2011/93/UE del Parlamento Europeo y del Consejo, de 13 de diciembre de 2011, relativa a la lucha contra los abusos sexuales y la explotación sexual de los menores y la pornografía infantil y por la que se sustituye la Decisión marco 2004/68/JAI del Consejo (DO L 335 de 17.12.2011, p. 1).

(3) Directiva 2013/40/UE del Parlamento Europeo y del Consejo, de 12 de agosto de 2013, relativa a los ataques contra los sistemas de información y por la que se sustituye la Decisión marco 2005/222/JAI del Consejo (DO L 218 de 14.8.2013, p. 8).