Bloc

Actualitat sobre ciberseguretat, protecció de dades i solucions de software.

Què és la Directiva NIS2 i com afecta la teva empresa

12 set., 24

La ciberseguretat és un repte crucial per a totes les empreses en un entorn cada cop més global i digitalitzat. La Directiva NIS2 pren el relleu de la Directiva NIS1 (2016) i té com a objectiu principal definir un marc legal europeu i minimitzar en impacte dels ciberatacs sobre usuaris i organitzacions. Per això, inclou una sèrie de procediments per a l’autoria en ciberseguretat que inclouen la prevenció, la monitorització i la notificació d’atacs , acompanyades d’elevades sancions per a sectors estratègics i proveïdors digitals.

Contenido del artículo

Què és la Directiva NIS2?

La Directiva NIS2 (Directiva (UE) 2022/2555) és una evolució de la Directiva NIS1 (UE 2016/1148), introduïda el 2016 com a marc normatiu per a la seguretat de les xarxes i els sistemes d’informació dins de la Unió Europea. No obstant això, la sofisticació creixent dels ciberatacs i la necessitat d’una protecció digital més gran ha impulsat l’actualització d’aquesta legislació. Aprovada el novembre del 2022 i en vigor des del 16 de gener del 2023, la Directiva NIS2 respon a les noves amenaces cibernètiques, com l’auge d’atacs que busquen extorsionar les empreses i accedir a informació confidencial per lucrar-se de manera il·lícita. Els Estats membres de la UE hauran d’incorporar les disposicions de la Directiva NIS2 a la seva legislació nacional abans del 17 d’octubre de 2024. Entre les novetats de la NIS2, destaca l’expansió de la normativa a més sectors estratègics considerats essencials, així com a proveïdors de serveis digitals. A més, reforça els requisits de seguretat que han de complir les empreses afectades, amb mesures que inclouen:

La implementació de processos de notificació d’incidents cibernètics.
La millora en la col·laboració i l’intercanvi d’informació sobre bretxes de seguretat.
La creació d’una xarxa de suport europeu per gestionar crisis generades per ciberatacs o vulnerabilitats ( EU-CYCLONe)

A qui aplica la directiva NIS2?

La Directiva NIS2 aplica empreses públiques i privades d’una àmplia gamma de sectors considerats crítics per a l’estabilitat econòmica i social de la Unió Europea. Aquests sectors es divideixen en dues grans categories:

Sectors essencials NIS2 d’alta criticitat:

Energia
Banca i infraestructures de mercats financers
Salut
Transport
Infraestructura digital
Aigües potables i residuals
Administració Pública (excloent organismes com el Poder Judicial, Parlaments i Bancs Centrals)
Proveïdors de serveis TIC

Sectors no essencials NIS2:

Investigació
Química
Alimentació
Serveis postals
Proveïdors digitals
Fabricació
Gestió de residus

Les empreses dins aquests sectors hauran de complir amb els estrictes criteris de ciberseguretat establerts per la Directiva NIS2. Les sancions per incompliment poden pujar a 10 milions d’euros o el 2% del volum de negocis anual en sectors essencials i fins a 2 milions d’euros en el cas de sectors no essencials.

Quins requisits exigeix la Directiva NIS2?

La Directiva NIS2 estableix una sèrie de mesures obligatòries que les empreses afectades han d’implementar per gestionar eficaçment els riscos de ciberseguretat i complir les obligacions de notificació d’incidents. Aquestes mesures busquen minimitzar l’impacte dels incidents als usuaris i protegir els subministraments i serveis estratègics. Entre elles s’inclouen:

Polítiques de seguretat per als sistemes d’informació i anàlisi de riscos.
Gestió d’incidents cibernètics.
Plans de continuïtat de negoci, incloent gestió de còpies de seguretat i recuperació davant de desastres.
Seguretat de la cadena de subministrament, garantint que els proveïdors compleixin amb els estàndards de ciberseguretat.
Polítiques per a l’adquisició, el desenvolupament i el manteniment segur dels sistemes de xarxes i d’informació.
Procediments d’avaluació de l’eficàcia de les mesures de gestió de riscos.
Formació en ciberseguretat i pràctiques bàsiques de ciberhigiene.
Ús de criptografia i, quan escaigui, xifrat.
Polítiques de seguretat de recursos humans, control d’accés i gestió d’actius.
Implementació d’autenticació multifactorial o autenticació continuada i comunicacions segures dins de l’entitat.

Aquestes mesures seran de compliment obligatori a partir del 27 d’octubre de 2024 i hauran de ser proporcionals a la mida i l’activitat de l’organització. A més, serà obligatori notificar qualsevol incident que pugui afectar tercers en un termini màxim de 24 hores.

Directiva NIS2 a Espanya: Impacte i adaptació

La Directiva NIS2 a Espanya estableix noves responsabilitats per a les empreses dins dels sectors crítics i estratègics. El país ha d’implementar aquesta normativa europea abans del 17 d’octubre del 2024, adaptant la seva legislació per complir les exigències en ciberseguretat . El BOE serà el mitjà oficial on es publiqui la incorporació d’aquesta directiva, i les empreses hauran d’estar atentes per no incórrer en sancions que podrien assolir els 10 milions d’euros. La implementació de les mesures incloses a la Directiva NIS2 suposa un repte considerable, ja que impliquen la revisió de la infraestructura tecnològica i de seguretat.

Directiva Europea NIS2: Noves mesures de ciberseguretat

La Directiva Europea NIS2 no només reforça els mecanismes de protecció per a les empreses, sinó que també cerca unificar els criteris de ciberseguretat entre els Estats membres de la Unió Europea. Les organitzacions han d’implementar controls més estrictes, com ara l’ autenticació multifactorial i la notificació d’incidents en menys de 24 hores. Alhora, es preveu la creació d’un marc col·laboratiu entre els països europeus per gestionar amenaces i compartir informació de manera eficient. Aquest enfocament integral permetrà millorar la resiliència de les xarxes i sistemes d’informació a nivell continental .

Com et pot ajudar Edorteam?

Si sospiteu que la vostra empresa pot estar afectada per la Directiva NIS2 o voleu avaluar el nivell de ciberseguretat de la vostra organització, a Edorteam comptem amb més de 30 anys d’experiència protegint les dades dels nostres clients. El nostre equip d’experts en normativa legal, ciberseguretat i protecció de dades us pot assessorar per garantir el compliment de la legislació i protegir la informació crítica de la vostra empresa. Per a més informació, consulta l’INCIBE (Institut Espanyol de Ciberseguretat) o contacta’ns. Els nostres consultors experts en ciberseguretat us assessoraran sense compromís.

Etiquetes: ciberseguretat, compliance empresa, xifrar arxius

Segueix-nos

Categorías del blog

0 Comments

Submit a Comment Cancel·la les respostes

Altres publicacions relacionades

Com protegir la meva empresa amb les subvencions del Kit Consulting?

25 set., 2024 | Ciberseguretat

Kit Consulting impulsa la transformació digital de pimes amb serveis de ciberseguretat avançats, finançats per fons europeus. Millora competitivitat!

Introducció a la Prevenció de pèrdua de Dades Personals

29 febr., 2024 | Ciberseguretat, Sense categoria, Xifrat de fitxers

La prevenció de la pèrdua de dades personals ha esdevingut una preocupació fonamental tant per a individus com per a organitzacions.

Bretxes de dades personals març: més del 50% van ser d’origen intern

27 abr., 2022 | Ciberseguretat, Xifrat de fitxers

Com cada mes, l'AEPD publica el seu Informe de Notificacions de Bretxes de Dades Personals. Després d'analitzar-ho, determinem que més del 50% de les bretxes de dades personals del mes de març van ser d'origen intern. Això vol dir que són els mateixos treballadors i...