En su Opinión publicada el 11 de marzo de 2021, el SEPD acoge con placer la propuesta de directiva NIS 2.0, que intenta sustituir la actual directiva de la seguridad de las redes y de los sistemas informativos (NIS). El fin de la propuesta es armonizar las prácticas de ciberseguridad en la Unión Europea.
La propuesta es parte de la estrategia de la Unión Europea en materia de ciberseguridad para garantizar un internet global y abierto con sólidas garantías para mitigar los riesgos para los derechos fundamentales de las personas, incluido el derechos a la protección de los datos. La Opinión del SEPD incluye observaciones y recomendaciones tanto sobre la estrategia como sobre la propuesta de directiva.
Es esencial que la privacidad y la protección de datos sean incorporadas en la propuesta de directiva y en todas las iniciativas futuras que derivan desde la estrategia de la Unión Europea sobre la seguridad informática. Esto permitirá un enfoque holístico en la gestión de los riesgos de seguridad informática y en la protección de datos personales.
Además, para garantizar la eficiencia de la estrategia de ciberseguridad y, para extensión, de la directiva propuesta, es necesario integrar plenamente las instrucciones, las oficinas, los órganos y las agencias de la Unión Europea en el marco general sobre la ciberseguridad a nivel europeo para lograr un nivel conjunto de protección.
El SEPD aprecia que la propuesta de directiva prevé cambios sistémicos y estructurales que tendrán un impacto positivo sobre la seguridad de los datos personales, de las comunicaciones electrónicas y de la seguridad de internet. El SEPD piensa que con fuerza las iniciativas adicionales que miran a mejorar las prácticas de ciberseguridad en la Unión europea y, más en general, la soberanidad tecnológica.
Para mejorar los objetivos de la propuesta de directiva, el SEPD reitera que la conformidad de todas las medidas prácticas, como el uso de sistemas de seguridad informática para prevenir, detectar y contestar a las amenazas informáticas, con leyes europeas sobre la protección de datos es imperativa.
En su opinión, el SEPD subrata que el uso de la criptografía, en particular la criptografía end-to-end, es fundamental. La criptografía es una tecnología insustituible para proteger los datos personales de las personas y del derecho a la privacidad.
Cualquier debilitamiento o elusión del cifrado (por ejemplo, utilizando puertas traseras obligatorias, depósito de llaves obligatorias y canales de comunicación ocultos) privaría completamente al mecanismo de cualquier capacidad de protección eficaz y provocaría una pérdida de confianza. Por lo tanto, la Directiva propuesta debería aclararse: nada en la propuesta debería interpretarse como un aval del debilitamiento de la criptografía de extremo a extremo a través de «puerta trasera» o soluciones similares.
El SEPD también pide a los colegisladores de la UE que cooperen más estrechamente con el Comité Europeo de Protección de Datos, así como un fundamento jurídico más amplio para la cooperación y el intercambio de información pertinente con las autoridades de protección de datos.