Compliance & Legal

Implantació Directiva NIS2

Reforça la ciberseguretat a la UE, enfocant-se en major responsabilitat corporativa, millor cooperació i major protecció d'infraestructures crítiques enfront de les ciberamenaces

Implantem la Directiva NIS2 en la teva empresa

La Directiva 2022/2555 del Parlament Europeu i del Consell, coneguda com NIS2 (Network and Information Security Directive 2), és la legislació en matèria de ciberseguretat adoptada per a tota la Unió Europea. Proporciona mesures legals per impulsar el nivell general de ciberseguretat a la UE i la resiliència de les infraestructures crítiques i dels serveis digitals a Europa.

Estableix obligacions de ciberseguretat, de supervisió i execució per als Estats membres, mesures per a la gestió de riscos i obligacions de notificació per a les entitats en el seu àmbit d’aplicació i relatives a l’intercanvi d’informació sobre ciberseguretat.

Per a una millor adequació dels requisits de ciberseguretat exigibles a les entitats en el seu àmbit, la implantació de la Directiva NIS2 distingeix entre entitats essencials i entitats importants. En qualsevol cas, les agrupacions de mesures de seguretat  s’aplicaran a tots dos tipus d’entitats, encara que amb major nivell d’exigència a les entitats essencials.

La Directiva NIS2 és una llei d'abast europeu que estableix una sèrie d'obligacions en matèria de ciberseguretat en vistes a impulsar un nivell comú de ciberseguretat adequat

A quines organitzacions/empreses afecta la NIS2?

La Directiva NIS2 afecta a totes les organitzacions de la UE, industrials i no industrials, inclosos els seus proveïdors, en sectors crítics:

  1. Afecta a les entitats que pertanyin a sectors d’alta criticitat i a altres sectors crítics, tant del sector públic com del sector privat que es considerin mitjanes o grans empreses.
  2. Amb independència de la seva grandària, la implantació de la Directiva NIS2 també afecta a:
    • Entitats pertanyents a altres sectors crítics, quan es tracti de:
      • Proveïdors de xarxes públiques o de serveis de comunicacions electròniques disponibles per al públic.
      • Prestadors de serveis de confiança, registres de noms de domini de primer nivell i proveïdors de serveis de DNS.
      • Quan l’entitat sigui l’únic proveïdor en un Estat membre d’un servei essencial per al manteniment d’activitats socials o econòmiques crítiques.
      • Quan una pertorbació del servei prestat per l’entitat pogués tenir repercussions significatives sobre la seguretat pública, l’ordre públic o la salut pública.
      • Quan una pertorbació del servei prestat per l’entitat pogués induir riscos sistèmics significatius, en particular per als sectors en els quals tal pertorbació podria tenir repercussions de caràcter transfronterer.
      • Quan l’entitat sigui crítica a la llum de la seva importància específica a nivell nacional o regional per al sector o tipus de servei en concret o per a altres sectors.
      • Interdependents en l’Estat membre.
    • Entitats del sector públic central o regional: De conformitat amb el Dret nacional, entitats de l’Administració pública central o regional, que prestin serveis la pertorbació dels quals podria tenir un impacte significatiu en activitats socials o econòmiques crítiques.
    • A criteri de cada Estat membre: Addicionalment, els Estats membres podran incorporar:
      • Als centres d’ensenyament, en particular quan duguin a terme activitats crítiques de recerca.
      • L’Administració pública local.
    • Entitats crítiques segons una altra Directiva europea: Entitats identificades com a crítiques segons es defineixen en l’article 2.1 de la Directiva (UE) 2022/2557 del Parlament Europeu i del Consell, de 14 de desembre de 2022, relativa a la resiliència de les entitats crítiques.

Empreses Essencials i Importants que han d'implantar la Directiva NIS2

Com saber si la meva empresa ha d'implantar la Directiva NIS2?

La teva empresa ha d’implantar obligatòriament la Directiva NIS2 si duen a terme les seves activitats a la UE o presten els seus serveis a la UE i està inclosos en qualsevol d’aquests supòsits:

  • Si forma part dels sectors Essencials o Importants.
  • Si compta amb més de 250 empleats en nòmina.
  • Si factura anualment més d’10 milions d’euros.
  • Si els serveis oferts poden tenir un impacte significatiu en la societat: seguretat, ordre o salut pública.
  • Si els serveis oferts poden tenir un impacte significatiu en una regió determinada.

ESSENCIALS

SECTORS

Les empreses que operen en sectors crítics, com l’energia, el transport, les finances, la salut i l’administració pública

MIDA

Les grans empreses amb més de 250 empleats o un volum de negoci anual superior a 50 milions d’euros

IMPACTE

Les empreses que proveeixen serveis considerats essencials per a la societat, fins i tot si no són grans

IMPORTANTS

SECTORS

Les empreses que operen en sectors no crítics, però que encara podrien tenir un impacte significatiu en l’economia o la societat si sofreixen un incident de ciberseguretat

MIDA

Les empreses que no són essencials, però que tenen més de 50 empleats o un volum de negoci anual superior a 10 milions d’euros

IMPACTE

Les empreses que proveeixen serveis que, encara que no són essencials, podrien tenir un impacte significatiu en un sector específic o en una regió determinada

QUÈ PASSA SI NO LA COMPLEIXO?

I si encara havent d’implantar la Directiva NIS2 decideixo no fer-ho?. Les empreses que entren en l’àmbit d’aplicació de la nova directiva han de “posar-se a la feina” immediatament, ja que el règim sancionador que contempla és bastant sever. Podrien enfrontar-se a una sèrie d’implicacions legals, incloses elevades multes i altres sancions.

Com a organització que ha de complir amb la NIS2, has de comprendre les teves obligacions de compliment i presentació d’informes, i trobar un soci que t’ajudi en el camí com Level4. Has de notificar a les autoritats corresponents, sense demores indegudes, sobre qualsevol amenaça cibernètica significativa que identifiquis i que podria haver resultat en un incident important.

CÚANDO ENTRA EN VIGOR LA DIRECTIVA NIS2?

La Directiva NIS2 va quedar aprovada formalment al novembre de 2022; la seva publicació en el Diari Oficial de la UE (DOUE) va tenir lloc al desembre de 2022; i va entrar en vigor el 16 de gener de 2023. No obstant això, a l’efecte de compliment, si la teva organització es veu afectada per la NIS2, tens fins al 17 d’octubre de 2024 per adoptar i publicar les mesures necessàries per complir amb la Directiva NIS2.

CRONOLOGIA DE LA IMPLANTACIÓ DE LA DIRECTIVA NIS2
  • 15 gener 2023

    Entrada en vigor de la NIS2

  • 17 juliol 2024

    Informe de la primera xarxa d'organitzacions d'enllaç en crisis cibernètiques (EU-CyCLONe)

  • 17 octubre 2024

    Els Estats membres han d'adoptar i publicar mesures per complir amb la Directiva NIS2

  • 17 gener 2025

    La xarxa CSIRT avalua els avanços realitzats en la cooperació operativa

  • 17 abril 2025

    Els Estats membres estableixen una llista d'entitats essencials i importants

  • 17 octubre 2027

    Revisió de les directrius

SANCIONS/MULTES

L’incompliment dels requisits de la NIS2 pot implicar sancions significatives, incloses multes de fins a 10 milions d’euros o el 2% de la facturació anual global per a les «Entitats Essencials» i de fins a 7 milions d’euros o el 1,4% de la facturació anual global per a les «Entitats Importants»

Principals objectius de la Implantació de la Directiva NIS2

La Directiva NIS2 és una normativa europea adoptada al desembre de 2020, que té com a objectiu millorar la ciberseguretat en tota la Unió Europea (UE). NIS2 és l’evolució de la primera Directiva NIS, que va ser introduïda en 2016. Aquesta segona versió respon als desafiaments creixents en matèria de ciberseguretat i cerca reforçar la resiliència de les infraestructures crítiques i els sistemes d’informació enfront dels ciberatacs.

Implantación Directiva NIS2 sectores

Ampliació de l'abast

NIS2 inclou a un major nombre de sectors i entitats, més enllà dels “operadors essencials” coberts per la primera directiva. Entre els nous sectors estan: Energia, Transport, Salut, Finances, Gestió d’aigües, Infraestructura digital (proveïdors de serveis en el núvol, centres de dades) i Fabricació de productes crítics (químics, dispositius mèdics, productes farmacèutics…)
Implantación Directiva NIS2 seguridad

Estàndards de seguretat més elevats

S’exigeix a les empreses i organitzacions que adoptin mesures de ciberseguretat més estrictes, millorin la seva capacitat de resposta davant incidents i fomentin la cooperació a nivell nacional i europeu

Implantación Directiva NIS2 riesgos

Gestió de riscos

Les organitzacions han d’identificar, avaluar i mitigar els riscos cibernètics. A més, NIS2 introdueix sancions més severes per a aquelles entitats que no compleixin amb els requisits de ciberseguretat

Responsabilitat

Els responsables de les empreses (com els membres de la junta directiva) seran responsables de la implementació de mesures de ciberseguretat, la qual cosa eleva el nivell de compromís en tota l’estructura de gestió

Implantación Directiva NIS2 compartir

Millora de la cooperació i la informació compartida

Es reforça la cooperació entre els Estats membres de la UE, les agències nacionals de ciberseguretat i les empreses privades per assegurar una resposta més coordinada i eficaç davant els ciberatacs. També es fomenta l’intercanvi d’informació sobre amenaces i vulnerabilitats entre entitats i països

Implantación Directiva NIS2 sanción

Nous mecanismes de sanció

La directiva preveu sancions econòmiques més severes per als qui no compleixin amb les obligacions. Això inclou multes significatives, especialment per a les grans organitzacions que descurin les seves responsabilitats en ciberseguretat

Què canvia amb la implantació de la Directiva NIS2?

Implantación Directiva NIS2 icon01

Més sectors coberts

NIS2 amplia l’espectre de sectors considerats crítics, com els serveis digitals o la fabricació de productes essencials

Implantación Directiva NIS2 icon02

Obligació de reportar incidents

Les empreses hauran de notificar a les autoritats competents qualsevol incident de seguretat rellevant, en un termini més curt i amb major detall que en la versió anterior

Sancions més estrictes

Els incompliments podran portar a multes que aconsegueixin fins a un percentatge del volum de negocis global anual de l’empresa, similar al que ocorre amb el Reglament General de Protecció de Dades (RGPD)

La implantació de la Directiva NIS2 és un marc legal clau per reforçar la ciberseguretat a la Unió Europea, enfocant-se en una major responsabilitat corporativa, una millor cooperació a nivell europeu i una major protecció d'infraestructures crítiques enfront de ciberamenaces

Logo NIS2

Sectors Essencials d'alta criticitat

Energia

  • Electricitat
  • Operadors de sistemes urbans de calefacció i refrigeració
  • Cru
  • Gas
  • Hidrogen

Transport

  • Transport aeri
  • Transport per ferrocarril
  • Transport marítim i fluvial
  • Transport per carretera

Banca

  • Entitats de crèdit

Infraestructures dels mercats financers

  • Gestors de centres de negociació
  • Entitats de contrapartida central (ECC)

Sector sanitari

  • Prestadors d’assistència sanitària
  • Laboratoris de referència de la UE
  • Medicaments

Aigua potable

  • Subministradors i distribuïdors d’aigües destinades al consum humà

Aigües residuals

  • Empreses dedicades a la recollida, l’eliminació o el tractament d’aigües residuals urbanes, domèstiques o industrials

Infraestructura digital

  • Centres de dades
  • Xarxes de telecomunicacions
  • Cloud providers
  • Serveis d’Internet i plataformes en línia
  • Infraestructura de ciberseguretat
  • Infraestructura de comunicació crítica

Entitats de l'Administració pública, parlaments i bancs centrals

  • Entitats de l’Administració pública central
  • Entitats de l’Administració pública a escala regional

Gestió de serveis TIC B2B

  • Proveïdors de serveis gestionats
  • Proveïdors de serveis de seguretat gestionats

Espai

  • Operadors d’infraestructures terrestres

Sectors Importants per la seva criticitat

Correus i missatgeria

Gestió de residus

Químics

Aliment

Tecnologia i enginyeria de fabricació

Investigació

Serveis digitals

Necessites assessorament personalitzat?