Normativa NIS2: què és i a qui aplica

La Directiva NIS2 (Directiva (UE) 2022/2555) representa un avenç significatiu en l'estratègia de ciberseguretat de la Unió Europea. El seu objectiu és garantir un elevat nivell comú de ciberseguretat a tots els Estats membres, reforçant i ampliant l'abast de l'anterior Directiva NIS1.

Què és la NIS2?

La NIS2 estableix mesures destinades a millorar la ciberresiliència de les entitats que operen en sectors crítics i essencials per a la societat i l'economia. Aquesta normativa imposa obligacions més estrictes en quant a la gestió de riscos, la governança i la notificació dels incidents de seguretat. A més, amplia el nombre de sectors i entitats que han de complir aquestes obligacions, incloent-hi tant entitats públiques com privades.

A qui aplica?

La NIS2 s'aplica a:

• Entitats mitjanes i grans que operen en sectors considerats d'alta criticitat i altres sectors crítics, com energia, transport, banca, salut, aigua potable, infraestructures digitals, entre d'altres.
• Petites i microempreses que, per la seva rellevància per a la societat o l'economia, poden ser considerades essencials o importants pels Estats membres.
• Entitats que presten serveis específics, com a proveïdors de xarxes públiques de comunicacions electròniques, serveis de confiança, registres de noms de domini de primer nivell i proveïdors de serveis de sistema de noms de domini.

En general, la NIS2 afecta entitats que presten els seus serveis o duen a terme les seves activitats a la Unió Europea. Aquestes entitats s'han d'autoidentificar com a essencials o importants, depenent de factors com la mida, el sector o la criticitat de les activitats.

Quan entra en vigor?

La Directiva NIS2 va ser publicada al Diari Oficial de la Unió Europea el 27 de desembre de 2022 i va entrar en vigor el 16 de gener de 2023. Els Estats membres han d'adoptar i publicar les disposicions necessàries per donar compliment al que estableix la Directiva abans del 17 d'octubre de 2024, i són aplicables a partir del 18 de desembre.

Què han de fer les entitats afectades?

Les entitats incloses a l'àmbit d'aplicació de la NIS2 han de:

• Implementar mesures tècniques i organitzatives adequades per gestionar els riscos que afecten la seguretat de les xarxes i sistemes d'informació.
• Notificar incidents de seguretat significatius a les autoritats competents sense demora indeguda.
• Adoptar polítiques de governança que incloguin la gestió de riscos de ciberseguretat i la formació del personal.

El compliment d'aquestes obligacions és essencial per garantir la continuïtat i la seguretat dels serveis essencials i crítics a la Unió Europea.

Quines mesures han d'adoptar les empreses?

Per complir amb la NIS2, les organitzacions han d'implementar mesures tècniques i organitzatives adequades, incloent-hi:

• Gestió de riscos i polítiques de seguretat per als sistemes d'informació.
• Plans de continuïtat del negoci i resposta a incidents.
• Seguretat a la cadena de subministrament i capacitació en ciberseguretat.
• Implementació de pràctiques com l'autenticació multifactor i el xifratge de dades.

A més, l'alta direcció de les empreses té la responsabilitat directa de supervisar i aprovar estratègies de ciberseguretat, assegurant-ne la correcta implementació i actualització.

Quines sancions hi ha per incompliment?

L'incompliment de la NIS2 pot comportar sancions econòmiques significatives, que varien segons la classificació de l'entitat (essencial o important). Aquestes sancions busquen garantir el compliment efectiu de la normativa i reforçar la ciberseguretat en sectors crítics.

Com pot ajudar Daratel?

Per a més informació i assessorament sobre com adaptar la teva empresa a la Directiva NIS2, pots contactar amb Daratel a través del següent enllaç:

Contactar amb Daratel

Daratel ofereix serveis especialitzats en ciberseguretat i et pot ajudar a complir els requisits establerts per la NIS2.