Skip to main content

Nova Directiva NIS2

Conscients del gran ús que la nostra societat fa de les xarxes i sistemes d’informació i per tal de garantir-ne la ciberseguretat, la Unió Europea va llançar el 6 de juliol de 2016 la Directiva (UE) 2016/1148 del Parlament Europeu i del Consell relativa a les mesures destinades a garantir un elevat nivell comú de seguretat de les xarxes i sistemes d’informació a la Unió”, coneguda com a directiva NIS.

Què és La Directiva NIS2 i quin n'és l'objectiu?

La Directiva NIS té com a objectiu estandarditzar el nivell general de seguretat de les xarxes i sistemes d’informació de la Unió Europea. Per això, estableix obligacions i mesures per a les entitats sobre la gestió de riscos de la ciberseguretat, notificacions, etc., així com de supervisió i execució aplicables als estats membres.

Aquestes mesures van ser aplicades per primera vegada el 2016, però l’increment de les transaccions remotes durant la pandèmia de COVID-19 va originar un augment dels ciberatacs, revelant insuficients o laxes les normatives especificades a la directiva NIS. Per aquest motiu, la Unió Europea va reformar la Directiva NIS endurint les mesures de ciberseguretat a les xarxes i sistemes.

Finalment, el passat 27 de desembre de 2022, es va publicar al diari oficial de la Unió Europea (DOUE), la nova directiva 2022/2555, coneguda com a NIS2 i que aplica a tots els estats membres.

En el cas d’Espanya, NIS2 tindrà un període de convivència amb l’actual Reial decret 43/2021 sobre la seguretat de les xarxes i els sistemes d’informació, fins a la implantació completa el 17 d’octubre del 2024.

Què canvia a la nova Directiva NIS2?

A la directiva NIS prèvia, l’EU disposava d’una llista de criteris d’avaluació i designava les empreses que entraven dins l’aplicació de la norma, i estaven limitades al grup d’empreses de serveis essencials. NIS2 amplia l’abast d’entitats que han de complir les directrius, incloent-hi un nou grup, les entitats importants.

Vegem quins són els requisits per a cada grup:

Entitats Essencials

  • Són aquelles empreses amb més de 250, amb un volum de negoci superior a 50 milions d’euros i un balanç superior a 43 milions d’euros.
  • Els sectors inclosos en aquesta categoria són: Energia | Sanitat | Entitats bancàries | Transport | Mercats Financers | Subministradors i empreses d’aigua potable | Proveïdors i empreses d’aigües residuals | Digital (proveïdors de serveis de computació al núvol, xarxes de distribució de contingut, Proveïdors Qualificats de Serveis de Confiança) | Gestió de serveis TIC | Espai i Administració pública.
  • Les entitats essencials seran sotmeses a una supervisió activa
  • Les sancions administratives per incompliment s’incrementen fins a assolir la pena de més quantia, o el 2% de la facturació anual o 10 milions d’euros.

Entitats importants

  • Empreses de 50 a 250, amb un volum de negocis entre 10 i 50 milions d’euros i un balanç inferior a 43 milions d’euros.
  • Els sectors inclosos són: Serveis postals | Serveis de missatgeria | Gestió de residus Substàncies químiques | Aliments | Indústria | Serveis digitals (online marketplaces, cercadors online, xarxes socials) | Investigació.
  • Les entitats essencials seran sotmeses a una supervisió passiva
  • Les sancions administratives per incompliment seran més lleus que en els casos de les entitats essencials.

Tot i que la nova directiva NIS2 defineix els grups d’entitats afectades per la directiva i els seus sectors, també recull una ampliació de l’àmbit d’aplicació, cosa que permet als estats membres incloure sectors no contemplats, sense importar la mida de l’empresa.

NIS 2 exclou de l’àmbit de l’aplicació les empreses que treballin en la defensa o seguretat nacional, com ara la policia o el poder judicial.

Altres mesures adoptades per la nova directiva NIS2 són:

  • Nous requisits de seguretat. Entre els nous requisits de seguretat trobem les actualitzacions de programari, configuració de dispositius, segmentació de la xarxa, l’adopció de mesures de confiança zero, la gestió de la identitat, la seguretat de la cadena de subministrament, el xifratge, la divulgació de vulnerabilitats i la resposta a incidents.

A més, com a mesura preventiva, la nova directiva NIS2 requereix a les entitats la conscienciació dels usuaris i l’organització de formacions per al personal per informar i sensibilitzar sobre les ciberamenaces.

  • Notificació dels incidents de seguretat. Per tal d’afavorir la comunicació entre els EEMM i originar un entorn de cooperació més eficaç i de confiança entre els estats membres, NIS2 estableix la creació d’una xarxa d’equips de resposta a incidents de seguretat informàtica (xarxa CSIRT).

En l’àmbit nacional, la nova directiva NIS2 manté la llibertat de cada estat membre per regular els incidents que no tinguin cap repercussió en altres països de la Unió, i requereix a les empreses, en cas d’incidents de #SeguridadCibernética, informar les autoritats pertinents en un termini de 24 h i preparar un informe detallat en un termini de 72 h (escurçant el termini de reports).

  • Obligacions organitzatives. Les empreses han de disposar d’un document on se n’especifiqui la política de seguretat digital i, a partir d’aquest, han de generar els protocols de seguretat d’acord amb la directiva.
  • Inclusió de la cadena de subministrament. Les empreses han de complir amb les noves mesures de seguretat i, alhora, exigir-les als seus proveïdors i tercers.
  • Coordinació entre les institucions europees i nacionals.
    Col·laboració públic/privada per a la creació de xarxes de cooperació mitjançant la creació d’associacions en l’àmbit de la #ciberseguretat que afavoreixin l’intercanvi de coneixements i de bones pràctiques.

Per aplicar-lo en l’àmbit de la coordinació entre institucions europees i nacionals, la directiva destaca els punts següents:

    • La designació d’una persona de contacte única, sent el responsable de seguretat (CISO) i que s’encarregui de coordinar les qüestions relacionades amb la seguretat dels sistemes de xarxes i d’informació i de la cooperació transfronterera a escala de la Unió.
    • El fet d’equipar-se tècnicament amb l’ús de les últimes tecnologies, com la #Intel·ligènciaArtificial, i organitzar pel que fa a la prevenció, detecció i resposta davant d’incidents i riscos de #ciberatacs, per tal de reduir-los.

A Víntegris, com a Prestadors de Serveis de Confiança i empresa considerada “essencial” per la Directiva NIS2, disposem de polítiques de seguretat per garantir les nostres xarxes i la informació que custodiem, prevenir ciberatacs i detectar riscos. Per això, comptem amb la nostra responsable de ciberseguretat, Victória Hernández (CISO) i el seu equip, que s’encarreguen de crear i aplicar les polítiques de seguretat zero trust, que garanteixen la integritat de les xarxes i informació, alhora que atendre auditories externes, les quals, val a dir, anem passant amb excel·lència des que ens constituïm Prestadors Qualificats de Serveis de Confiança el 2016.

Deixa un comentari