Implantació Directiva NIS2
Reforça la ciberseguretat a la UE, enfocant-se en major responsabilitat corporativa, millor cooperació i major protecció d'infraestructures crítiques enfront de les ciberamenaces
Implantem la Directiva NIS2 en la teva empresa
La Directiva 2022/2555 del Parlament Europeu i del Consell, coneguda com NIS2 (Network and Information Security Directive 2), és la legislació en matèria de ciberseguretat adoptada per a tota la Unió Europea. Proporciona mesures legals per impulsar el nivell general de ciberseguretat a la UE i la resiliència de les infraestructures crítiques i dels serveis digitals a Europa.
Estableix obligacions de ciberseguretat, de supervisió i execució per als Estats membres, mesures per a la gestió de riscos i obligacions de notificació per a les entitats en el seu àmbit d’aplicació i relatives a l’intercanvi d’informació sobre ciberseguretat.
Per a una millor adequació dels requisits de ciberseguretat exigibles a les entitats en el seu àmbit, la implantació de la Directiva NIS2 distingeix entre entitats essencials i entitats importants. En qualsevol cas, les agrupacions de mesures de seguretat s’aplicaran a tots dos tipus d’entitats, encara que amb major nivell d’exigència a les entitats essencials.
La Directiva NIS2 és una llei d'abast europeu que estableix una sèrie d'obligacions en matèria de ciberseguretat en vistes a impulsar un nivell comú de ciberseguretat adequat
A quines organitzacions/empreses afecta la NIS2?
La Directiva NIS2 afecta a totes les organitzacions de la UE, industrials i no industrials, inclosos els seus proveïdors, en sectors crítics:
- Afecta a les entitats que pertanyin a sectors d’alta criticitat i a altres sectors crítics, tant del sector públic com del sector privat que es considerin mitjanes o grans empreses.
- Amb independència de la seva grandària, la implantació de la Directiva NIS2 també afecta a:
- Entitats pertanyents a altres sectors crítics, quan es tracti de:
- Proveïdors de xarxes públiques o de serveis de comunicacions electròniques disponibles per al públic.
- Prestadors de serveis de confiança, registres de noms de domini de primer nivell i proveïdors de serveis de DNS.
- Quan l’entitat sigui l’únic proveïdor en un Estat membre d’un servei essencial per al manteniment d’activitats socials o econòmiques crítiques.
- Quan una pertorbació del servei prestat per l’entitat pogués tenir repercussions significatives sobre la seguretat pública, l’ordre públic o la salut pública.
- Quan una pertorbació del servei prestat per l’entitat pogués induir riscos sistèmics significatius, en particular per als sectors en els quals tal pertorbació podria tenir repercussions de caràcter transfronterer.
- Quan l’entitat sigui crítica a la llum de la seva importància específica a nivell nacional o regional per al sector o tipus de servei en concret o per a altres sectors.
- Interdependents en l’Estat membre.
- Entitats del sector públic central o regional: De conformitat amb el Dret nacional, entitats de l’Administració pública central o regional, que prestin serveis la pertorbació dels quals podria tenir un impacte significatiu en activitats socials o econòmiques crítiques.
- A criteri de cada Estat membre: Addicionalment, els Estats membres podran incorporar:
- Als centres d’ensenyament, en particular quan duguin a terme activitats crítiques de recerca.
- L’Administració pública local.
- Entitats crítiques segons una altra Directiva europea: Entitats identificades com a crítiques segons es defineixen en l’article 2.1 de la Directiva (UE) 2022/2557 del Parlament Europeu i del Consell, de 14 de desembre de 2022, relativa a la resiliència de les entitats crítiques.
- Entitats pertanyents a altres sectors crítics, quan es tracti de:
Empreses Essencials i Importants que han d'implantar la Directiva NIS2
Com saber si la meva empresa ha d'implantar la Directiva NIS2?
La teva empresa ha d’implantar obligatòriament la Directiva NIS2 si duen a terme les seves activitats a la UE o presten els seus serveis a la UE i està inclosos en qualsevol d’aquests supòsits:
- Si forma part dels sectors Essencials o Importants.
- Si compta amb més de 250 empleats en nòmina.
- Si factura anualment més d’10 milions d’euros.
- Si els serveis oferts poden tenir un impacte significatiu en la societat: seguretat, ordre o salut pública.
- Si els serveis oferts poden tenir un impacte significatiu en una regió determinada.
ESSENCIALS
SECTORS
Les empreses que operen en sectors crítics, com l’energia, el transport, les finances, la salut i l’administració pública
MIDA
Les grans empreses amb més de 250 empleats o un volum de negoci anual superior a 50 milions d’euros
IMPACTE
Les empreses que proveeixen serveis considerats essencials per a la societat, fins i tot si no són grans
IMPORTANTS
SECTORS
Les empreses que operen en sectors no crítics, però que encara podrien tenir un impacte significatiu en l’economia o la societat si sofreixen un incident de ciberseguretat
MIDA
Les empreses que no són essencials, però que tenen més de 50 empleats o un volum de negoci anual superior a 10 milions d’euros
IMPACTE
Les empreses que proveeixen serveis que, encara que no són essencials, podrien tenir un impacte significatiu en un sector específic o en una regió determinada
QUÈ PASSA SI NO LA COMPLEIXO?
I si encara havent d’implantar la Directiva NIS2 decideixo no fer-ho?. Les empreses que entren en l’àmbit d’aplicació de la nova directiva han de “posar-se a la feina” immediatament, ja que el règim sancionador que contempla és bastant sever. Podrien enfrontar-se a una sèrie d’implicacions legals, incloses elevades multes i altres sancions.
Com a organització que ha de complir amb la NIS2, has de comprendre les teves obligacions de compliment i presentació d’informes, i trobar un soci que t’ajudi en el camí com Level4. Has de notificar a les autoritats corresponents, sense demores indegudes, sobre qualsevol amenaça cibernètica significativa que identifiquis i que podria haver resultat en un incident important.
CÚANDO ENTRA EN VIGOR LA DIRECTIVA NIS2?
La Directiva NIS2 va quedar aprovada formalment al novembre de 2022; la seva publicació en el Diari Oficial de la UE (DOUE) va tenir lloc al desembre de 2022; i va entrar en vigor el 16 de gener de 2023. No obstant això, a l’efecte de compliment, si la teva organització es veu afectada per la NIS2, tens fins al 17 d’octubre de 2024 per adoptar i publicar les mesures necessàries per complir amb la Directiva NIS2.
CRONOLOGIA DE LA IMPLANTACIÓ DE LA DIRECTIVA NIS2
-
15 gener 2023
Entrada en vigor de la NIS2
-
17 juliol 2024
Informe de la primera xarxa d'organitzacions d'enllaç en crisis cibernètiques (EU-CyCLONe)
-
17 octubre 2024
Els Estats membres han d'adoptar i publicar mesures per complir amb la Directiva NIS2
-
17 gener 2025
La xarxa CSIRT avalua els avanços realitzats en la cooperació operativa
-
17 abril 2025
Els Estats membres estableixen una llista d'entitats essencials i importants
-
17 octubre 2027
Revisió de les directrius
SANCIONS/MULTES
L’incompliment dels requisits de la NIS2 pot implicar sancions significatives, incloses multes de fins a 10 milions d’euros o el 2% de la facturació anual global per a les «Entitats Essencials» i de fins a 7 milions d’euros o el 1,4% de la facturació anual global per a les «Entitats Importants»
Principals objectius de la Implantació de la Directiva NIS2
La Directiva NIS2 és una normativa europea adoptada al desembre de 2020, que té com a objectiu millorar la ciberseguretat en tota la Unió Europea (UE). NIS2 és l’evolució de la primera Directiva NIS, que va ser introduïda en 2016. Aquesta segona versió respon als desafiaments creixents en matèria de ciberseguretat i cerca reforçar la resiliència de les infraestructures crítiques i els sistemes d’informació enfront dels ciberatacs.
Ampliació de l'abast
Estàndards de seguretat més elevats
S’exigeix a les empreses i organitzacions que adoptin mesures de ciberseguretat més estrictes, millorin la seva capacitat de resposta davant incidents i fomentin la cooperació a nivell nacional i europeu
Gestió de riscos
Les organitzacions han d’identificar, avaluar i mitigar els riscos cibernètics. A més, NIS2 introdueix sancions més severes per a aquelles entitats que no compleixin amb els requisits de ciberseguretat
Responsabilitat
Els responsables de les empreses (com els membres de la junta directiva) seran responsables de la implementació de mesures de ciberseguretat, la qual cosa eleva el nivell de compromís en tota l’estructura de gestió
Millora de la cooperació i la informació compartida
Es reforça la cooperació entre els Estats membres de la UE, les agències nacionals de ciberseguretat i les empreses privades per assegurar una resposta més coordinada i eficaç davant els ciberatacs. També es fomenta l’intercanvi d’informació sobre amenaces i vulnerabilitats entre entitats i països
Nous mecanismes de sanció
La directiva preveu sancions econòmiques més severes per als qui no compleixin amb les obligacions. Això inclou multes significatives, especialment per a les grans organitzacions que descurin les seves responsabilitats en ciberseguretat
Què canvia amb la implantació de la Directiva NIS2?
Més sectors coberts
NIS2 amplia l’espectre de sectors considerats crítics, com els serveis digitals o la fabricació de productes essencials
Obligació de reportar incidents
Les empreses hauran de notificar a les autoritats competents qualsevol incident de seguretat rellevant, en un termini més curt i amb major detall que en la versió anterior
Sancions més estrictes
Els incompliments podran portar a multes que aconsegueixin fins a un percentatge del volum de negocis global anual de l’empresa, similar al que ocorre amb el Reglament General de Protecció de Dades (RGPD)
La implantació de la Directiva NIS2 és un marc legal clau per reforçar la ciberseguretat a la Unió Europea, enfocant-se en una major responsabilitat corporativa, una millor cooperació a nivell europeu i una major protecció d'infraestructures crítiques enfront de ciberamenaces
Sectors Essencials d'alta criticitat
Energia
- Electricitat
- Operadors de sistemes urbans de calefacció i refrigeració
- Cru
- Gas
- Hidrogen
Transport
- Transport aeri
- Transport per ferrocarril
- Transport marítim i fluvial
- Transport per carretera
Banca
- Entitats de crèdit
Infraestructures dels mercats financers
- Gestors de centres de negociació
- Entitats de contrapartida central (ECC)
Sector sanitari
- Prestadors d’assistència sanitària
- Laboratoris de referència de la UE
- Medicaments
Aigua potable
- Subministradors i distribuïdors d’aigües destinades al consum humà
Aigües residuals
- Empreses dedicades a la recollida, l’eliminació o el tractament d’aigües residuals urbanes, domèstiques o industrials
Infraestructura digital
- Centres de dades
- Xarxes de telecomunicacions
- Cloud providers
- Serveis d’Internet i plataformes en línia
- Infraestructura de ciberseguretat
- Infraestructura de comunicació crítica
Entitats de l'Administració pública, parlaments i bancs centrals
- Entitats de l’Administració pública central
- Entitats de l’Administració pública a escala regional
Gestió de serveis TIC B2B
- Proveïdors de serveis gestionats
- Proveïdors de serveis de seguretat gestionats
Espai
- Operadors d’infraestructures terrestres