Bloc > Ciberseguretat

Directiva NIS2: què és i com afecta la teva empresa

by | 12 set., 2024

La Directiva NIS2 representa un canvi fonamental en lenfocament de la Unió Europea cap a la ciberseguretat. Aprovada el novembre del 2022 i en vigor des del 16 de gener del 2023, aquesta normativa substitueix l’anterior Directiva NIS1 (2016), establint un nou marc legal més estricte i ampli per protegir xarxes i sistemes d’informació a tot Europa. La seva implementació ja és obligatòria als estats membres de la Unió Europea des de 17 d’octubre de 2024 , i les organitzacions s’han de preparar com més aviat millor per complir les seves exigències

Actualització[enero 2025] :

El Consell de Ministres d’Espanya ha aprovat el Avantprojecte de Llei de Coordinació i Governança de la Ciberseguretat, que transposa oficialment a l’ordenament jurídic nacional la Directiva (UE) 2022/2555, coneguda com NIS2. Aquesta norma, elaborada pels ministeris de lInterior, Defensa i Transformació Digital, estableix un marc legal que reforça la protecció de xarxes i sistemes dinformació. Entre les novetats principals destaca la creació del Centre Nacional de Ciberseguretat , encarregat de coordinar la ciberseguretat a nivell estatal i ser autoritat de gestió de crisi en cas d’incidents rellevants.

A més, la llei detalla quines entitats estan obligades a complir-la, fixa requisits per designar un responsable de ciberseguretat acreditat en entitats essencials, i imposa la notificació d’incidents significatius, fins i tot si afecten proveïdors externs. La tramitació ha estat declarada urgent pel fet que el termini oficial de transposició de la Directiva NIS2 va vèncer el 17 d’octubre del 2024 .

Contenido del artículo

Context: per què sorgeix la Directiva NIS2?

La Directiva NIS1 va ser pionera a establir un marc comú de ciberseguretat a la UE, però amb el pas del temps es van identificar diverses debilitats:

  • Aplicació desigual entre Estats membres.
  • Baix nivell de preparació a molts sectors.
  • Manca de cooperació internacional efectiva.

La NIS2 neix amb l’objectiu d’ esmenar aquestes mancances , reforçar la seguretat en un entorn digital cada cop més complex, i respondre a noves amenaces com el ransomware, l’espionatge industrial i les interrupcions de serveis essencials.

Què és la Directiva NIS2?

La Directiva (UE) 2022/2555 , coneguda com a Directiva NIS2 , reforça els estàndards de ciberseguretat i estén la seva aplicació a més sectors considerats essencials i estratègics, incloent també a proveïdors digitals. Entre els seus objectius principals hi ha:

  • Reforçar la resiliència de les infraestructures crítiques.
  • Establir criteris homogenis de seguretat entre els Estats membres.
  • Millorar la col·laboració entre països per gestionar incidents.

Comparativa: NIS1 vs NIS2

Aspecte NIS1 (2016) NIS2 (2022)
Àmbit d’aplicació Limitat a sectors crítics Ampliat a més sectors i empreses
Requisits de seguretat Generals i poc detallats Concrets, harmonitzats i obligatoris
Supervisió Dèbil i desigual entre països Reforç d’autoritats nacionals i auditories
Cooperació entre països Limitada Creació d’EU-CYCLONe per a resposta coordinada
Sancions Escasses o inexistents Multes de fins a 10M€ o el 2% del volum anual

A qui afecta la Directiva NIS2?

La NIS2 aplica tant a entitats públiques com privades que operin en sectors essencials o importants. Aquests sectors es classifiquen en:

Sectors essencials (alta criticitat):

  • Energia
  • Banca i infraestructures financeres
  • Sanitat
  • Transport
  • Infraestructura digital
  • Aigua potable i residual
  • Administració pública (excepte justícia, parlaments i bancs centrals)
  • Proveïdors de serveis TIC

Sectors importants (no essencials):

  • Investigació
  • Química
  • Alimentació
  • Serveis postals i missatgeria
  • Proveïdors digitals
  • Fabricació crítica
  • Gestió de residus

Important! Les empreses d’aquests sectors han d’implementar mesures obligatòries de ciberseguretat, independentment de la mida, si compleixen certs criteris d’activitat.

Obligacions de la Directiva NIS2

Les obligacions que introdueix aquesta normativa es distribueixen al llarg de 17 punts, per la qual cosa adaptar-se a tots els requisits és un projecte extens i complex:

  1. Gestió del risc: actius, amenaces, vulnerabilitats, impacte i probabilitat.
  2. Política de seguretat de la informació: estratègia i objectius de seguretat.
  3. Documentació de mesures tècniques i organitzatives: descripció de mesures de seguretat implementades.
  4. Avaluació de riscos: informes sobre riscos a sistemes i serveis.
  5. Pla de resposta a incidents: protocol per gestionar i respondre incidents. Procediments de notificació d’incidents: guia sobre com informar les autoritats.
  6. Gestió d’incidents, que inclou la detecció, la resposta i el maneig d’incidents de ciberseguretat.
  7. Continuïtat del negoci i gestió de crisis, mitjançant plans de recuperació davant de desastres i còpies de seguretat.
  8. Seguretat a la cadena de subministrament, avaluant els riscos associats a proveïdors i socis comercials.
  9. Seguretat en l’adquisició, el desenvolupament i el manteniment de sistemes d’informació, incloent-hi la gestió de vulnerabilitats.
  10. Avaluació de l’eficàcia de les mesures de gestió de riscos per identificar possibles debilitats.
  11. Gestió de proveïdors: polítiques per avaluar riscs de tercers.
  12. Registres dactivitats: manteniment de registres dincidents i accions.
  13. Pràctiques bàsiques de ciberhigiene i formació en ciberseguretat per a tot el personal.
  14. Ús de criptografia i, on correspongui, encriptació per protegir la informació sensible.
  15. Seguretat dels recursos humans, control daccés i gestió dactius, assegurant que el personal tingui accés restringit i controlat als sistemes.
  16. Autenticació multifactorial i comunicacions segures, on sigui apropiat, per protegir l’accés i les comunicacions dins de l’organització.
  17. Auditories, revisions i control periòdic d’eficàcia de les mesures de seguretat implementades.

Aquestes mesures han de ser proporcionals a la mida, el sector i el nivell d’exposició al risc de cada organització. Contacta amb nosaltres per fer gratuïtament una consultoria d’adaptació a la NIS2 sense compromís. Les nostres solucions s’adapten a la mida de les empreses i fins i tot en pots finançar el cost si has sol·licitat els ajuts Kit Consulting o Kit Digital per a empreses de fins a 249 empleats.

Com preparar-se per complir amb la Directiva NIS2? (checklist pràctic)

  1. Realitza una auditoria de ciberseguretat actual.
  2. Identifica els teus actius crítics i avalua els riscos.
  3. Revisa les teves polítiques i procediments interns.
  4. Forma el teu equip en ciberseguretat.
  5. Implementa controls tècnics com a autenticació multifactor.
  6. Estableix un protocol de notificació d’incidents.
  7. Supervisa la cadena de subministrament.
  8. Documenta totes les accions per demostrar compliment.

Casos d’ús: com impacta la NIS2 a diferents sectors?

  • Sanitat : hospitals hauran de protegir historials clínics i notificar atacs en menys de 24h.
  • Transport : aerolínies i operadors logístics hauran de blindar les seves xarxes operatives.
  • Finances : bancs han de revisar protocols davant de filtracions de dades o sabotatges.
  • Fabricació crítica : plantes industrials hauran de garantir disponibilitat operativa.

Preguntes freqüents (FAQ)

La NIS2 aplica al meu PIME?

Sí, si operes en un dels sectors esmentats i superes certs llindars dactivitat o criticitat. Si teniu menys de 50 empleats, la vostra pime pot estar igualment obligada per cadena de subministrament (ets proveïdor d’una entitat obligada per la NIS2).

Qui supervisa el compliment de la Normativa NIS2 a Espanya?

Una entitat de nova creació, el Centre Nacional de Ciberseguretat, un òrgan de contacte únic amb la Unió Europea adscrit a la Secretaria General de Presidència del Govern que s’encarregarà de la direcció, l’impuls i la coordinació en la matèria, garantirà la cooperació intersectorial i transfronterera amb altres autoritats competents i serà autoritat de gestió de les crisis de ciberseguretat.

Quin termini tinc per complir la Directiva NIS2?

Actualment, la Directiva NIS2 es troba en vigor a nivell europeu, ia Espanya està pendent de la seva transposició a llei estatal. És important adaptar-se a la NIS2 sense demora, perquè no és un procés ràpid i es preveu que la transposició de llei es publicarà els propers mesos.

I si no compleixo?

T’enfrontes a sancions de fins a 10 milions d’euros o el 2% de la facturació.

NIS2 Espanya: adaptació i impacte

Espanya ha d’ adaptar la seva legislació abans del 17 d’ octubre del 2024 . El Butlletí Oficial de l’Estat (BOE) és el mitjà per publicar la transposició. Les empreses espanyoles han de revisar les infraestructures digitals i adoptar mesures preventives com més aviat millor.

A més, es preveu una cooperació activa entre el sector privat i els organismes com l’ INCIBE i el Centre Criptològic Nacional (CCN-CERT) per fomentar la ciberresiliència nacional.

Com et pot ajudar Edorteam?

A Edorteam , comptem amb més de 30 anys d’experiència ajudant empreses a complir amb normatives de protecció de dades i ciberseguretat. Podem ajudar-te a:

  • Avaluar si la teva empresa està subjecta a la Directiva NIS2.
  • Realitzar auditories de ciberseguretat.
  • Desenvolupar plans de compliment adaptats al teu sector.
  • Formar el teu equip a ciberseguretat.

Demana una consultoria gratuïta i prepara’t amb garanties per a la NIS2.

Recursos addicionals

adaptació NIS2, auditoria NIS2, casos NIS2, ciberhigiene empresarial, ciberseguretat, ciberseguretat NIS2, compliance empresa, compliment NIS2, Directiva NIS2, NIS2 checklist, NIS2 Espanya, normativa europea NIS2, proveïdors TIC, requisits NIS2, sancions NIS2, sectors NIS2, seguretat de la informació

Sol·licita informació

Segueix-nos a xarxes

Altres publicacions relacionades

0 Comments

Submit a Comment

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *