El compliment de la Directiva NIS2 és continuïtat per al teu negoci

Diversos esdeveniments poden sorgir de manera inesperada en el compliment de la Directiva NIS2 i amenaçar la continuïtat de les operacions i activitats del teu negoci; especialment aquells relacionats amb la ciberdelinqüència. D’aquí la importància d’aplicar mesures i tecnologies capaces de protegir la xarxa interna de la vostra organització, impedint així l’entrada a usuaris i dispositius no autoritzats.

Ara bé, no n’hi ha prou amb implementar mesures internes, el teu entorn operacional també ho ha de fer, entre ells els teus proveïdors. Per això neix la Directiva Network and Information Security (NIS2), un marc de seguretat de la informació creat per garantir la protecció dels sistemes i les xarxes d’informació a la Unió Europea.

Què és la Network and Information Security (NIS)?

La NIS és un conjunt de normes establertes que garanteixen la ciberseguretat per als Estats membres de la Unió Europea. S’hi inclou la gestió de riscos en ciberseguretat, l’obligatorietat de notificació per a les entitats en el seu àmbit d’aplicació, la conscienciació sobre ciberseguretat i la supervisió i execució de les mateixes.

Fins ara hi ha dues versions, la NIS1 emesa l’any 2016 i l’actualitzada NIS2, vigent des del 16 de gener de 2023. Totes dues impulsades per la necessitat d’assolir un alt nivell comú de seguretat a les xarxes i sistemes de tota la infraestructura crítica de la UE.

Quan va entrar en vigor la NIS2?

• La NIS2 va entrar en vigor el gener del 2023. A partir d’aquesta data va començar un període d’adaptació.
• Durant aquest període, que de fet va culminar el 17 d’octubre del 2024, cada estat de la Unió Europea l’hauria d’incorporar a la seva legislació nacional (tot i que Espanya a data de gener del 2025 només ha publicat l’ avantprojecte de Llei de Coordinació i Governança de la Ciberseguretat ).
• Quan es publiqui la nova llei a Espanya, aquesta serà una actualització del RD 43/2021, que alhora va ser una transposició de la primera Directiva NIS.
• I el 2027, la Comissió revisarà el funcionament de la Directiva i en proporcionarà informació al Parlament i al Consell.

Requeriments de la nova Directiva NIS2 en matèria de resiliència i ciberseguretat

Per tal de contribuir i reforçar ciberresiliència a Europa, cal que cadascun dels Estats membres adopti la nova Directiva NIS2, cosa que implica acatar els requeriments següents:

• Implementar estratègies de ciberseguretat.
• Designar autoritats competents que s’encarreguin d’auditar, d’inspeccionar i de supervisar les operacions d’entitats essencials.
• Determinar autoritats de gestió de crisis de ciberseguretat.
• Establir punts de contacte únics sobre ciberseguretat.
• Formar equips CSIRT (Computer Security Incident Response Team); un grup d’experts responsables de desenvolupar mesures preventives i reactives davant d’incidències de ciberseguretat.

Ens de la Unió Europea que contribueixen a la gestió d’incidents de conformitat amb el marc NIS2

L’any 2020 La UE va posar en marxa l’EU-CYCLONe (Xarxa Europea d’Organització d’Enllaç De Crisis Cibernètiques). Una organització encarregada de donar suport a la gestió coordinada dels incidents i les crisis de ciberseguretat a gran escala.

A més, ENISA (Agència de la Unió Europea per a la Ciberseguretat) contribueix en gran manera a la Comissió Europea i al Grup de Cooperació NIS en proporcionar guies i directrius actualitzats, així les diferents entitats poden comptar amb una orientació pràctica que els permeti aplicar les normatives correctament.

Per què va caldre crear la nova Directiva NIS2?

• En primer lloc, perquè han passat 8 anys des de la primera versió i durant aquest temps els ciberdelinqüents han avançat i millorat les seves tàctiques, i ara la intel·ligència artificial és part de les seves estratègies.
• Segon, l’abast de la NIS 1 era limitat, s’havia deixat diferents tipus d’empresa i activitats per fora.
• I finalment, no es va aconseguir que tots els països complissin la normativa de manera homogènia.

Per què és important que totes les empreses i organitzacions valorin la NIS2 com a pla de continuïtat per al negoci?

Perquè l’objectiu és augmentar la ciberresiliència de la UE tant al sector públic com al privat. Per entendre-ho millor posem un exemple, suposem que una fàbrica de cotxe sol·licita una comanda al vostre proveïdor d’acer. No obstant això, el vostre proveïdor us notifica que ha estat víctima d’un ciberatac i de moment no podreu completar la vostra sol·licitud.

Aquesta incidència pot generar dues conseqüències importants:

1. La paralització de les operacions en no comptar amb la matèria primera per a la fabricació dels seus cotxes.
2. El possible atac cibernètic arran del robatori d’informació que podria haver patit el proveïdor, cosa que inclou dades confidencials de la fàbrica de cotxe. Motius pels quals es preveu canviar aquesta situació amb el compliment de la Directiva NIS2.

Per això la UE exigeix ​​a les organitzacions un enfocament més robust per a la gestió de risc i la resiliència operativa a través d’aquesta nova normativa.

Abast d’aplicació de la NIS2

Hi ha 3 criteris per definir les diferents organitzacions que han de complir amb la NIS2. Són les següents:

• Tota empresa que ofereixi serveis o desenvolupi activitats a qualsevol país de la UE, indiferentment de si la seva seu es troba dins o fora de la UE.
• Tota empresa o organització que tingui més de 50 empleats i més de 10 milions d’euros en ingressos.
• Tota entitat que opera als següents sectors:

• Administració Pública
• Aigua potable
• Aigües residuals
• Banca
• Energia
• Espai
• Fabricació
• Fabricació, producció i distribució de substàncies i barreges químiques
• Gestió de residus
• Gestió de serveis de TIC (d’empresa a empresa)
• Infraestructura digital
• Infraestructures dels mercats financers
• Investigació
• Producció, transformació i distribució d’aliments
• Proveïdors de serveis digitals
• Sector sanitari
• Serveis postals i de missatgeria
• Transport

Àmbit d’aplicació de la NIS2

Cal destacar que la NIS2 en àmbit daplicació fa distinció entre entitats essencials (energia, sanitat, finances, entre altres) i importants (inclosa la producció daliments, la infraestructura digital i els serveis postals).

En aquest sentit, les entitats essencials són aquelles a qui se’ls exigeix ​​a priori el compliment de la Directiva NIS2 i l’emissió de certificacions que demostrin que les seves activitats i operacions compten amb la seguretat requerida per proveir-ne els serveis.

D’altra banda, a les entitats importants no se’ls exigiria a priori el compliment de la normativa, però en cas d’una incidència s’exigirà la comprovació del compliment o no amb la normativa.

Principals canvis per al compliment de la Directiva NIS2

El marc NIS2 té base a la directiva anterior, però amb certes actualitzacions que li atorguen un enfocament més complet. Són els següents:

• Ampliació de l’àmbit d’aplicació

El marc NIS1 s’aplicava únicament a operadors de serveis essencials en sectors com a energia, transport, banca, entre d’altres. Mentre que la NS2 inclou proveïdors de serveis digitals (DSP), plataformes en línia, sistemes de mercat en línia, motors de cerca, etc.

• Obligacions específiques per als DSP

Donada la inclusió als proveïdors de serveis digitals en el marc NIS2 va caldre introduir obligacions específiques en termes de seguretat cibernètica i notificació d’incidències.

• Majors exigències en notificació d’incidents

A la NIS1 no era obligatori informar sobre les incidències, però ara a la NIS2 s’exigeix ​​notificar als organismes oficials les incidències significatives en un lapse de 24 hores, proporcionar un informe detallat en un lapse de 72 hores i un informe final en màxim 30 dies.

Nota: Es considera com a incidència significativa aquella que causa o existeix la possibilitat de causar greus pertorbacions operatives o pèrdues financeres. També si ha afectat o pot afectar altres persones o entitats.

• Responsabilitat executiva

La Directiva NIS2 introdueix per primera vegada la responsabilitat de lòrgan de direcció en la gestió dels riscos de ciberseguretat i el compliment de la normativa.

• Sancions

Les sancions per incompliment de la normativa són coherents a tota la Unió Europea. Aquestes poden variar des de multes administratives fins a prohibicions temporals per als directius responsables.

Relació entre NIS2, ISO 27001, DORA i PIC/CER

Un fet que fa més fàcil la implementació de la nova directiva NIS2 és la varietat de marcs i normatives que la majoria d’organitzacions duen a terme per anys. A saber:

• ISO 27001:

Es tracta d’un estàndard internacional que determina els requeriments per implementar i millorar un sistema de gestió de seguretat de la informació. Per descomptat, la NIS2 ofereix un enfocament més específic en làmbit daplicació i notificació dincidència; amb tot, l’ISO no deixa de ser clau a l’hora d’establir polítiques i procediments de ciberseguretat dins de les organitzacions.

• DORA (Digital Operational Resilience Act):

Per part seva Dora, la “Resiliència Operativa Digital” aplicada a entitats financeres promou el compliment de normes força similars a la NIS2, principalment per tal de resistir i recuperar-se d’incidents disruptius. Per exemple, lavaluació continuada i proves periòdiques de sistemes de seguretat, proves de penetració i simulació dincidència.

• CER (Critical Entities Resilience):

Aquesta normativa centrada en la resiliència de les entitats crítiques davant d’una àmplia gamma d’amenaces, s’alinea amb la NIS2 en cercar protegir les infraestructures destacant la necessitat de cooperació efectiva entre els estats membres i les entitats.

Edorteam, la consultora tecnològica que vetlla pel teu negoci

A Edorteam comptem amb el suport d´un equip d´experts en ciberseguretat i protecció de dades, més un departament legal conformat per consultors altament qualificats.

El nostre objectiu és protegir i afavorir la continuïtat del teu negoci ajudant-te a complir amb cadascun dels requeriments que determina el compliment de la Directiva NIS2

Com ho fem?

• Desenvolupem una estratègia corporativa de ciberintel·ligència adaptada a les teves necessitats per identificar els riscos d’incompliment a què et puguis enfrontar. A més, oferim formació continuada a l’equip professional.
• En cas de detectar amenaces i vulnerabilitats a la teva xarxa informàtica empresarial, deixem a càrrec el nostre equip tècnic de sistemes i programari, qui implementarà les millores que la teva empresa requereixi, tant en programari com en maquinari.
• Prevenim i reduïm l’impacte d’un possible ciberatac i alhora establim plans i procediments de resposta a qualsevol incidència que es presenti.

Són més de 30 anys oferint la millor solució en matèria de ciberseguretat i legalitat a pimes i grans empreses a nivell nacional. Comprova-ho per tu mateix!