Dudas y aclaraciones sobre cómo implantar NIS2 en nuestras empresas

Dubtes i aclariments sobre com implantar NIS2 a les nostres empreses

Juan Antonio Calles

Recentment vam estar parlant de la Directiva NIS2 en un altre article de Flu Project , en aquest cas, dedicat a un altre tema de vessant molt similar, el llançament del 2n paquet RTS llançat per les AES per al compliment de DORA. No obstant això, al post d'avui volem centrar-nos en NIS2 i en alguns dels diferents dubtes que han anat sorgint en els darrers mesos, així que guardeu-vos aquest post a manera de FAQ, que possiblement us resulti d'utilitat a les vostres respectives organitzacions.

A manera de recordatori, quan parlem de NIS2 ens referim a la Directiva (UE) 2022/2555: NIS 2 (v2 de Network and Information Security), adreçada a elevar la ciberseguretat a la UE utilitzant com a palanca sectors essencials. No té res a veure amb el NIST (americà), la semblança del qual en 3 lletres de 4 és mera coincidència ;). Aquesta nova regulació neix per actualitzar i derogar la Directiva (UE) 2016/1148 del 6 de juliol de 2016 (antiga Directiva NIS1).

NIS2 distingeix dues grans agrupacions a les quals aplicaran determinats requeriments en funció de la seva criticitat. Aquests requeriments seran aplicables per a les empreses d'aquests sectors, sempre que tinguin més de 50 treballadors (és a dir, que almenys siguin mitjana empresa):

  • Sectors d'Alta Criticitat:
    • Energia
    • Transport
    • Banc
    • Infraestructures Mercats financers
    • Sector Sanitari
    • Aigua potable
    • Aigües Residuals
    • Infraestructura Digital
    • Serveis TIC (B2B)
    • Administració pública
    • Espai

  • Altres Sectors Crítics:
    • Serveis Postals i de missatgeria
    • Gestió de Residus
    • Fabricació, producció i distribució de substàncies i barreges químiques
    • Producció, transformació i distribució d'aliments
    • Fabricació: Entre d'altres de productes sanitaris.
    • Proveïdors de serveis digitals
    • Investigació

No obstant això i per la redacció de l'article 2, punt 1 de la Directiva, el qual ha generat una mica de controvèrsia perquè la redacció dóna lloc a confusió, aquests requeriments no només aplicaran a aquests 18 sectors a les organitzacions mitjanes i grans, sinó que també aplicaran a qualsevol organització d'aquests sectors, independentment de la seva mida, en determinades circumstàncies.


Aquesta hipòtesi queda corroborada després de la publicació del Centre Criptològic Nacional, que aclareix en aquesta pàgina que, amb independència de la seva mida, les mesures aplicaran a les dues agrupacions (Sectors d'Alta Criticitat i Crítics) en casos vinculats a la seguretat nacional i al funcionament de les infraestructures crítiques, en centres que realitzin investigació (ex. centres d'ensenyament), en administracions regionals i locals (ex. ajuntaments), cosa que per altra banda és una cosa òbvia, atès que en molts casos com a pobles i petites ciutats no arribaran als 50 empleats, però els seus serveis són més que essencials per a la ciutadania i l'estat, etc. A la següent captura de la web del CCN podreu consultar aquests detalls: 


En aquesta mateixa publicació podreu descarregar una infografia molt interessant que vincula l'Esquema Nacional de Seguretat (ENS) amb NIS2, i en què aclareixen que a ulls de l'administració, una companyia que disposi de l'ENS certificat al Nivell Alt, serà considerada com "conforme" davant de la Directiva NIS2, per la qual cosa si ja compteu amb aquesta certificació, ja tindreu fets els deures:


 

Així mateix, aclareix que aquelles companyies que tinguin certificacions ENS Media i Bàsica hauran de posar èmfasi en els temes de continuïtat i gestió de proveïdors, tal com defineix la pròpia Directiva.

Per començar a entendre de què va NIS2 us recomano 2 de les publicacions oficials que tenim en castellà, la pròpia traducció oficial de la directiva :


I la Guia CCN-STIC 892 que ha estat publicada fa tot just uns dies:

D'altra banda, és important aclarir que, segons l'article 41 de la Directiva NIS2, aquesta haurà de transposar-se pels països de la UE no més tard del 17 d'octubre de 2024, sota una norma amb rang de llei. És a dir, en un mes aproximadament finalitzarà el termini per tenir-la oficialment amb nosaltres, encara que encara hi ha certa incertesa perquè no ha estat publicada i es desconeix si hi haurà moltes variacions que puguin canviar el pas a aquelles organitzacions que ja s'han posat fil a l'agulla amb la implantació.

Una altra data important que tenim amb nosaltres és el 17 d'abril del 2025, dia en què els diferents països de la UE deuen haver fet públics els seus llistats d'empreses i administracions afectades per l'aplicació de la regulació. Aquestes llistes d'entitats essencials i importants s'han d'actualitzar, com a màxim, cada 2 anys.

Finalment i sobre una altra pregunta que ens solen fer, NIS2 és certificable? Tècnicament NO. Simplement és una llei que hem de complir, com passa amb moltes altres com la Llei Orgànica de Protecció de Dades (LOPD). No obstant això, tal com aclareix el CCN-CERT, a causa de les seves similituds, la possessió de la certificació de l'ENS és una via reconeguda per complir NIS2, per la qual cosa les organitzacions es podran pensar dins de les seves estratègies de govern i seguretat .

Properament continuarem ampliant aquesta cadena d'articles segons vagin sent publicades noves dades d'aquesta regulació tan esperada.

Salutacions!



Tornar al bloc

Deixa un comentari

Tingueu en compte que els comentaris s'han d'aprovar abans que es publiquin.