Bloc

Actualitat sobre ciberseguretat, protecció de dades i solucions de software.

Què és la Directiva NIS2 i com afecta la teva empresa

12 set., 24

La ciberseguretat és un repte crucial per a totes les empreses en un entorn cada cop més global i digitalitzat. La Directiva NIS2 pren el relleu de la Directiva NIS1 (2016) i té com a objectiu principal definir un marc legal europeu i minimitzar en impacte dels ciberatacs sobre usuaris i organitzacions. Per això, inclou una sèrie de procediments per a l’autoria en ciberseguretat que inclouen la prevenció, la monitorització i la notificació d’atacs , acompanyades d’elevades sancions per a sectors estratègics i proveïdors digitals.

Què és la Directiva NIS2?

La Directiva NIS2 (Directiva (UE) 2022/2555) és una evolució de la Directiva NIS1 (UE 2016/1148), introduïda el 2016 com a marc normatiu per a la seguretat de les xarxes i els sistemes d’informació dins de la Unió Europea. No obstant això, la sofisticació creixent dels ciberatacs i la necessitat d’una protecció digital més gran ha impulsat l’actualització d’aquesta legislació. Aprovada el novembre del 2022 i en vigor des del 16 de gener del 2023, la Directiva NIS2 respon a les noves amenaces cibernètiques, com l’auge d’atacs que busquen extorsionar les empreses i accedir a informació confidencial per lucrar-se de manera il·lícita. Els Estats membres de la UE hauran d’incorporar les disposicions de la Directiva NIS2 a la seva legislació nacional abans del 17 d’octubre de 2024. Entre les novetats de la NIS2, destaca l’expansió de la normativa a més sectors estratègics considerats essencials, així com a proveïdors de serveis digitals. A més, reforça els requisits de seguretat que han de complir les empreses afectades, amb mesures que inclouen:

  • La implementació de processos de notificació d’incidents cibernètics.
  • La millora en la col·laboració i l’intercanvi d’informació sobre bretxes de seguretat.
  • La creació d’una xarxa de suport europeu per gestionar crisis generades per ciberatacs o vulnerabilitats ( EU-CYCLONe)

A qui aplica la directiva NIS2?

La Directiva NIS2 aplica empreses públiques i privades d’una àmplia gamma de sectors considerats crítics per a l’estabilitat econòmica i social de la Unió Europea. Aquests sectors es divideixen en dues grans categories:

Sectors essencials NIS2 d’alta criticitat:

  • Energia
  • Banca i infraestructures de mercats financers
  • Salut
  • Transport
  • Infraestructura digital
  • Aigües potables i residuals
  • Administració Pública (excloent organismes com el Poder Judicial, Parlaments i Bancs Centrals)
  • Proveïdors de serveis TIC

Sectors no essencials NIS2:

  • Investigació
  • Química
  • Alimentació
  • Serveis postals
  • Proveïdors digitals
  • Fabricació
  • Gestió de residus

Les empreses dins aquests sectors hauran de complir amb els estrictes criteris de ciberseguretat establerts per la Directiva NIS2. Les sancions per incompliment poden pujar a 10 milions d’euros o el 2% del volum de negocis anual en sectors essencials i fins a 2 milions d’euros en el cas de sectors no essencials.

Quins requisits exigeix la Directiva NIS2?

La Directiva NIS2 estableix una sèrie de mesures obligatòries que les empreses afectades han d’implementar per gestionar eficaçment els riscos de ciberseguretat i complir les obligacions de notificació d’incidents. Aquestes mesures busquen minimitzar l’impacte dels incidents als usuaris i protegir els subministraments i serveis estratègics. Entre elles s’inclouen:

  • Polítiques de seguretat per als sistemes d’informació i anàlisi de riscos.
  • Gestió d’incidents cibernètics.
  • Plans de continuïtat de negoci, incloent gestió de còpies de seguretat i recuperació davant de desastres.
  • Seguretat de la cadena de subministrament, garantint que els proveïdors compleixin amb els estàndards de ciberseguretat.
  • Polítiques per a l’adquisició, el desenvolupament i el manteniment segur dels sistemes de xarxes i d’informació.
  • Procediments d’avaluació de l’eficàcia de les mesures de gestió de riscos.
  • Formació en ciberseguretat i pràctiques bàsiques de ciberhigiene.
  • Ús de criptografia i, quan escaigui, xifrat.
  • Polítiques de seguretat de recursos humans, control d’accés i gestió d’actius.
  • Implementació d’autenticació multifactorial o autenticació continuada i comunicacions segures dins de l’entitat.

Aquestes mesures seran de compliment obligatori a partir del 27 d’octubre de 2024 i hauran de ser proporcionals a la mida i l’activitat de l’organització. A més, serà obligatori notificar qualsevol incident que pugui afectar tercers en un termini màxim de 24 hores.

Directiva NIS2 a Espanya: Impacte i adaptació

La Directiva NIS2 a Espanya estableix noves responsabilitats per a les empreses dins dels sectors crítics i estratègics. El país ha d’implementar aquesta normativa europea abans del 17 d’octubre del 2024, adaptant la seva legislació per complir les exigències en ciberseguretat . El BOE serà el mitjà oficial on es publiqui la incorporació d’aquesta directiva, i les empreses hauran d’estar atentes per no incórrer en sancions que podrien assolir els 10 milions d’euros. La implementació de les mesures incloses a la Directiva NIS2 suposa un repte considerable, ja que impliquen la revisió de la infraestructura tecnològica i de seguretat.

Directiva Europea NIS2: Noves mesures de ciberseguretat

La Directiva Europea NIS2 no només reforça els mecanismes de protecció per a les empreses, sinó que també cerca unificar els criteris de ciberseguretat entre els Estats membres de la Unió Europea. Les organitzacions han d’implementar controls més estrictes, com ara l’ autenticació multifactorial i la notificació d’incidents en menys de 24 hores. Alhora, es preveu la creació d’un marc col·laboratiu entre els països europeus per gestionar amenaces i compartir informació de manera eficient. Aquest enfocament integral permetrà millorar la resiliència de les xarxes i sistemes d’informació a nivell continental .

Com et pot ajudar Edorteam?

Si sospiteu que la vostra empresa pot estar afectada per la Directiva NIS2 o voleu avaluar el nivell de ciberseguretat de la vostra organització, a Edorteam comptem amb més de 30 anys d’experiència protegint les dades dels nostres clients. El nostre equip d’experts en normativa legal, ciberseguretat i protecció de dades us pot assessorar per garantir el compliment de la legislació i protegir la informació crítica de la vostra empresa. Per a més informació, consulta l’INCIBE (Institut Espanyol de Ciberseguretat) o contacta’ns. Els nostres consultors experts en ciberseguretat us assessoraran sense compromís.

0 Comments

Submit a Comment

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *

Altres publicacions relacionades