Per Mónica Maganto,
Cybersecurity Solutions Specialist
En un món cada vegada més digitalitzat, la seguretat cibernètica s’ha convertit en una preocupació central per a governs, empreses i ciutadants per igual. Amb l’objectiu de reforçar la resilència de les infraestructures crítiques i garantitzar la protecció dels serveis essencials en la Unió Europea, s’ha dissenyat una estratègia de Ciberseguretat introduïnt la nova versió de la Directiva de Seguretat de les Xarxes i de la Informació (NIS2). A continuació, explorarem els aspectes clau d’aquesta nova normativa.
¿Què és la directiva NIS2 i quan entra en vigor?
La Directiva NIS2, la segona iteració de la Directiva de Seguretat de les Xarxes i de la Informació, es basa que tots els estats membres hauran de reportar els incidents de seguretat que estan succeint per tenir una visió global a nivell europeu en ciberseguretat de manera que es pugui vetllar per la seguretat de les xarxes i sistemes d’informació al territori de la UE. Així mateix, aquesta normativa exposa les mesures destinades a garantir un elevat nivell comú de ciberseguretat a tota la Unió Europea.
Va ser publicada el setembre del 2022 i s’ha establert un termini perquè els Estats membres traslladin la directiva a la seva legislació que finalitza el 17 de gener del 2024. Un cop la legislació estigui definida, durant el primer trimestre del 2025, els Estats hauran de comunicar el règim sancionador aplicable per incompliment a totes les entitats que es vegin afectades.
¿Qui ha de complir la directiva NIS2?
L’antiga Directiva NIS ja aplicava a una àmplia gamma de sectors com ara el de l’energia, la banca, el transport o el sector sanitari. Actualment s’han ampliat a 18 sectors, els quals es divideixen en dues tipologies: Alta Criticitat que corresponen a entitats essencials i altres sectors crítics.
Alta Criticitat: Energia, Transport, Espai, Infraestructures de mercats financers, Sector Sanitari, Banca i Infraestructura digital.
Altres sectors crítics: Aigües potables, Administració Pública, Proveïdors digitals, Alimentació, Investigació, Gestió de residus, Aigües residuals, Gestió de serveis TIC (B2B), Serveis postals, Fabricació i Química.
Dins aquests sectors estaran exemptes les microempreses, petites i mitjanes empreses de menys de 250 persones; o el volum anual de negocis del qual no excedeixi els 50 milions d’euros o el balanç general anual del qual no excedeixi els 43 milions d’euros.
De tota manera, hi ha una excepció dins aquest darrer requeriment. Independentment de la mida, la Directiva serà aplicada a aquelles empreses que donin servei de comunicacions, dominis, xarxes, etc.
¿Quines sancions comprèn la NIS2?
Els Estats membres tindran com a data límit el 17 de gener de 2025 per comunicar el règim de sancions aplicables per incompliment a la Comissió Europea. De tota manera, la NIS2 estableix un marc de sancions que seran efectives, proporcionals i dissuasòries tenint en compte les circumstàncies en cada cas particular.
Els Estats membres prendran com a referència les quanties següents en funció del tipus d’entitat:
- Per a les entitats essencials, les sancions podran ser, optant-se per la de més quantia, de fins a 10.000.000€ o un màxim d’un 2% del volum de negoci anual total a nivell mundial de l’exercici financer anterior.
- Par a les entitats importants, les sancions podran ser, optant per la de major quantia, de fins a 7.000.000€ o de un màxim d’un 1,4% del volum de negoci anual total a nivell mundial de l’exercici financer anterior.
A més de les sancions econòmiques, la NIS2 també preveu la possibilitat d’altres mesures correctives, com ara la supervisió contínua, auditories de seguretat i la imposició de mesures específiques per abordar les deficiències identificades en els sistemes de ciberseguretat.
Obligatorietats
La nova Directiva NIS2 obliga les companyies a notificar els incidents de seguretat al CSIRT assignat de referència oa l’autoritat competent assignada.
¿Què s’ha de notificar?
Qualsevol incident que tingui un impacte significatiu, és a dir, que suposi una parada a la producció i provoqui una discontinuïtat del negoci, i que tingui un impacte reputacional o econòmic dins de la companyia.
¿Com s’ha de notificar-ho?
Un cop s’hagi detectat l’incident, la notificació s’haurà de fer dins de les primeres 24 hores i al cap de 72 hores caldrà actualitzar l’evolució de la resolució de l’incident de seguretat exposant la gravetat, l’impacte i quins són els indicadors de compromís identificats.
Finalment, en el termini d’un mes caldrà fer un informe final amb detall de l’incident i les mesures adoptades per solucionar-ho.
¿Com podem ajudar-te a complir amb la directiva des d’ABAST?
L’àrea de ciberseguretat d’ABAST pot ajudar-te a afrontar aquesta nova normativa a través de CybAll SOC powered by Cyrebro que es basa en els pilars fundamentals de la CiberObservabilitat i la Ciberintel·ligència.
CybAll SOC és un servei de SOC que assegurarà a la teva empresa tenir una estratègia, procediments i polítiques definits, supervisió i reporting constant sobre com està evolucionant el model de ciberseguretat. Però no només el monitoratge és important, sinó que CybAll SOC també és proactiu, ja que permet realitzar anàlisis de vulnerabilitats, auditories tècniques, revisions de la salut dels sistemes d’informació en matèria de ciberseguretat per anar elevant el nivell de maduresa en matèria de ciberseguretat, dels sistemes dinformació.
El servei compta, a més, amb la plataforma Cyrebro per a la monitorització de la Seguretat d’actius crítics i la gestió de les alertes per a una detecció i respostes immediates davant d’amenaces.
En definitiva, la Directiva NIS2 representa un pas significatiu en la millora de la ciberseguretat a la Unió Europea i s’espera que impulsi la consciència i la preparació en matèria de ciberseguretat a tota la regió, assegurant un entorn digital més segur i resistent per a tothom.
Si tens dubtes o vols saber més sobre la nostra solució CybAll SOC by Cyrebro no dubtis en posar-te en contacte amb nosaltres a través del nostre formulari web.