Per fer-ho, estableix diverses obligacions a les empreses i organitzacions, entre les quals hi ha la gestió de riscos, la planificació de la continuïtat de l’activitat, la notificació d’incidents, la protecció contra atacs a la cadena de subministrament i la imposició de sancions més estrictes per incompliments.

 Quan va entrar en vigor la NIS2 i des de quan és d’aplicació (18.10.24)?

La Directiva NIS2 es va publicar al DOUE el 27.12.22 i va entrar en vigor el 16.1.23.

Això no obstant, com passa amb totes les Directives, cada EEMM ha d’adoptar i publicar les mesures necessàries de transposició al seu ordenament jurídic per donar compliment a la Directiva NIS2.

En efecte, l’art 41 de la NIS2 preveu que la Directiva s’ha de transposar a tots els EEMM, entre ells Espanya, a més tardar el 17.10.24, sent d’aplicació a partir del 18.10.24.

A l’Estat espanyol, encara no s’han transposat adoptat aquests canvis normatius, però les organitzacions públiques i privades afectades igualment han de fer front a la NIS2 des de la seva entrada en aplicació el 18.10.24.

A quins sectors afecta la NIS2?

Amb caràcter general, la NIS2 aplica a mitjanes i grans empreses públiques o privades, dels sectors altament crítics i altres sectors crítics indicats als annexos I-II de la Directiva.

Sectors Altament Crítics / Entitats Essencials (11):

1. Energia (electricitat, calefacció, refrigeració de districtes, gas, hidrogen i petroli).
2. Transport (aeri, ferroviari, marítim, viari).
3. Salut
4. Bancs
5. Infraestructura del mercat financer.
6. Aigua potable.
7. Aigües residuals.
8. Infraestructura digital.
9. Serveis de Telecomunicacions i Informació.
10. Entitats de l’administració pública.
11. Aeroespacial

Altres sectors crítics / Entitats importants (7):

1. Serveis postals i de missatgeria.
2. Gestió de residus.
3. Productes químics.
4. Alimentació (producció, transformació i distribució)
5. Fabricants de productes sanitaris, informàtics, electrònics o òptics, elèctrics, maquinària, vehicles i equips de transport.
6. Proveïdors de serveis digitals.
7. Investigació i recerca.

A quines Petites i Micro Empreses afecta la NIS2?

Les mitjanes empreses, de més de 50 empleats i un volum de negoci superior als 10 milions d’euros, estaran obligades a complir amb la NIS2 sempre que pertanyin a algun dels sectors crítics.

En canvi, les empreses més petites, de menys de 50 treballadors o una facturació menor als 10 milions d’euros, queden fora de l’àmbit d’aplicació, a excepció que formin part del sector d’infraestructura digital, de l’administració pública o que l’estat les catalogui com a essencials o importants. (Art. 2.2 de la Directiva).

 Distinció entre entitats essencials i importants

La Directiva (art. 3.3) estableix que, a més tardar el 17.4.25, els EEMM hauran d’elaborar una llista de les entitats essencials i importants així com de les entitats que presten serveis de registre de noms de domini. Aquesta llista es revisarà mínim cada dos anys.

Les entitats essencials tenen una supervisió proactiva, mentre que en el segon cas de les entitats importants només se supervisa si hi ha un incident. També varia la quantia de les multes que es poden aplicar per incompliments de la normativa.

Quines mesures de ciberseguretat s’han d’implementar?

Les empreses, entitats i organitzacions afectades hauran de complir una sèrie de mesures tècniques, operatives i organitzatives relacionades amb la gestió de riscos de ciberseguretat.

Aquestes són les més destacades:

• Polítiques d’anàlisi de riscos i seguretat de la informació.
• Gestió d’incidents (prevenció, detecció i resposta).
• Pla de continuïtat de l’activitat
• Seguretat de la cadena de subministrament.
• Avaluació de l’eficiència de les mesures de seguretat aplicades.
• Polítiques i procediments de criptologia i xifratge.
• Ús d’autenticació multifactor i comunicació segura amb xifratge de veu, text i vídeo.
• Polítiques de procediments de seguretat del personal, accés a dades i gestió d’actius.
• Seguretat de xarxes i sistemes d’informació
• Formació i conscienciació dels treballadors

Com impacte la NIS2 a la cadena de subministrament?

Una de les novetats de la NIS2 és l’obligació per a les organitzacions empreses d’aquests sectors de millorar la ciberseguretat de la cadena de subministrament.

Les empreses organitzacions i entitats afectades dels sectors crítics han de garantir que els seus proveïdors compleixen amb la ciberseguretat que marca la normativa NIS2.

 La NIS2 estableix que les entitats tenen l’obligació de gestionar i avaluar els riscos associats amb els seus proveïdors i d’implementar mesures de seguretat adequades per protegir la cadena de subministrament.

Quines sancions preveu la NIS2?

Els estats membres tenen fins al 17.1.25 per comunicar el règim sancionador aplicable en cas d’incompliment de la Directiva NIS2, partint del marc sancionador que preveu la NIS2 de:

• Fins a 10M€ o de màxim el 2% del volum de negoci anual de l’exercici anterior, optant per la de major quantia, per les entitats essencials.

• Fins a 7M€ o de màxim un 1,4% del volum de negoci anual de l’exercici anterior, optant per la de major quantia, per les entitats importants.

Existeix alguna ajuda per contractar serveis de ciberseguretat?

Actualment existeixen les següents ajudes governamentals:

• KIT CONSULTING és una ajuda consistent en un bo/fons per contractar serveis d’assessorament de ciberseguretat. La quantia del fons varia en funció de la grandària de l’empresa, sent la quantia mínima de 12.000 fins a 24.000.

El termini per sol·licitar el KIT CONSULTING finalitza el proper 28.2.25.

Permet contractar serveis d’assessorament com ara la realització d’auditories de ciberseguretat, implantació de la NIS2, ISO 27001, ENS, realització de pentesting …

• KIT DIGITAL que permet implantar solucions digitals vàries de ciberseguretat disponibles en el mercat i contractar serveis de ciberseguretat gestionats.

L’import màxim de l’ajuda és de 29.000€.

Per a mes informació poseu-vos en contacte amb nosaltres AQUÍ