Dudas y aclaraciones sobre cómo implantar NIS2 en nuestras empresas

NIS2 gure enpresetan nola ezartzeko zalantzak eta argipenak

Juan Antonio Calles

Duela gutxi, NIS2 Zuzentarauari buruz hitz egiten ari ginen Gripe Proiektuaren beste artikulu batean, kasu honetan, oso antzeko alderdia duen beste gai bati eskainia, AESek DORA betetzeko abian jarritako 2. RTS paketea abian jartzea. Hala ere, gaurko sarreran NIS2n eta azken hilabeteotan sortu diren zenbait zalantza ezberdinetan zentratu nahi dugu, beraz, mezu hau FAQ gisa mantenduko dut, zure erakundeetan erabilgarria izan daitekeena.

Oroigarri gisa, NIS2ri buruz hitz egiten dugunean 2022/2555 Zuzentaraua (EB) aipatzen ari gara: NIS 2 (V2 of Network and Information Security), EBn zibersegurtasuna areagotzea helburu duena, funtsezko sektoreak palanka gisa erabiliz. Ez du zerikusirik NIST (amerikar)-rekin, zeinaren antzekotasuna 4tik 3 hizkietan kasualitate hutsa den ;). Araudi berri hau 2016ko uztailaren 6ko 2016/1148 Zuzentaraua (EB) eguneratu eta indargabetzeko sortu zen (lehen NIS1 Zuzentaraua).

NIS2-k bi talde handi bereizten ditu, zeinei baldintza batzuk aplikatuko zaizkien kritikotasunaren arabera. Baldintza hauek sektore horietako enpresei aplikatuko zaizkie, betiere 50 langile baino gehiago badituzte (hau da, gutxienez enpresa ertaina bada):

  • Kritikotasun handiko sektoreak:
    • Energia
    • Garraioa
    • Bankua
    • Azpiegiturak Finantza merkatuak
    • Osasun arloa
    • Edateko ura
    • Hondakinak
    • Azpiegitura digitala
    • IKT zerbitzuak (B2B)
    • Administrazio publikoa
    • Espazioa

  • Beste sektore kritikoak:
    • Posta eta mezularitza zerbitzuak
    • Hondakinen Kudeaketa
    • Substantzia eta nahaste kimikoen fabrikazioa, ekoizpena eta banaketa
    • Elikagaien ekoizpena, eraldaketa eta banaketa
    • Fabrikazioa: Besteak beste, osasun produktuak.
    • Zerbitzu digitalen hornitzaileak
    • Ikerketa

Dena den, eta Zuzentarauaren 2. artikuluaren 1. puntuaren idazkera dela eta, nolabaiteko polemika sortu duena, idazkerak nahasmena sortzen duelako, eskakizun horiek ez dira soilik erakunde ertain eta handietako 18 sektore horiei aplikatuko, baizik eta sektore horietako edozein erakunderi aplikatzea, tamaina edozein dela ere, zenbait egoeratan.


Hipotesi hori berretsi egiten da Zentro Kriptologiko Nazionalaren argitalpenaren ondoren, eta orrialde honetan argitzen baitu , haien tamaina edozein dela ere, neurriak bi taldeei (Kritikotasun Handia eta Sektore Kritikoak) aplikatuko zaizkiela segurtasun nazionalarekin eta kritikoen funtzionamenduarekin lotutako kasuetan. azpiegiturak, ikerketak egiten dituzten zentroetan (irakaskuntza-zentroetan, adibidez), eskualdeko eta tokiko administrazioetan (udaletxeetan, adibidez), eta hori, bestalde, zerbait agerikoa da, izan ere, kasu askotan, herri eta hiri txikietan adibidez, egingo dute. ez dira 50 langilera iristen baina haien zerbitzuak ezinbestekoak dira herritarrentzat eta estatuarentzat, etab. CCNren webguneko hurrengo pantaila-argazkian xehetasun hauek kontsulta ditzakezu: 


Argitalpen honetan bertan Segurtasun Eskema Nazionala (ENS) NIS2rekin lotzen duen infografiko oso interesgarri bat deskargatu dezakezu , eta bertan argitzen duten administrazioaren aurrean, ENS-a bere Goi-mailako ziurtagiria duen enpresa bat izango dela. NIS2 Zuzentarauarekin "betetzen" dela jotzen da, beraz, ziurtagiri hau dagoeneko baduzu, etxeko lanak eginda izango dituzu:


 

Era berean, argitzen du ENS Medium eta Basic ziurtagiriak dituzten enpresek jarraikortasunaren eta hornitzaileen kudeaketaren gaiak azpimarratu behar dituztela, Zuzentarauak berak zehaztutakoaren arabera.

NIS2 zer den ulertzen hasteko, gaztelaniaz ditugun argitalpen ofizialetatik 2 gomendatzen ditut, zuzentarauaren itzulpen ofiziala bera :


Eta duela egun gutxi argitaratu zen CCN-STIC 892 Gida :

Bestalde, argitzea komeni da, NIS2 Zuzentarauaren 41. artikuluaren arabera, EBko herrialdeek 2024ko urriaren 17a baino lehen transposatu behar dutela, Lege maila duen arau baten arabera, alegia a Gutxi gorabehera hilabete bat amaituko da ofizialki gurekin edukitzeko epea, nahiz eta oraindik ziurgabetasun pixka bat dagoen, argitaratu ez delako eta ez dakigunez aldakuntza asko egongo diren dagoeneko iritsi diren erakundeentzat erritmoa alda dezaketen. ezarpenarekin lan egitea.

Gure artean daukagun beste data garrantzitsu bat 2025eko apirilaren 17a da, EBko herrialde ezberdinek araudia aplikatzearen eraginpean dauden enpresa eta administrazioen zerrendak publiko egin behar dituzten eguna. Ezinbesteko eta garrantzitsuen entitateen zerrenda horiek, gehienez, 2 urtean behin eguneratu behar dira.

Azkenik, eta askotan egiten zaigun beste galdera bati buruz, NIS2 ziurtagiria al da? Teknikoki EZ. Bete behar dugun lege bat besterik ez da, beste askorekin gertatzen den bezala, hala nola Datuak Babesteko Lege Organikoa (LOPD). Hala ere, CCN-CERT-ek argitzen duenez, antzekotasunengatik, ENS ziurtagiria izatea NIS2 betetzeko modu aitortua da, beraz, erakundeek beren gobernu eta segurtasun estrategien barruan kontuan hartu dezaketen zerbait da.

Laster artikulu kate hau zabaltzen jarraituko dugu, aspaldi itxaroten den araudi honi buruzko datu berriak argitaratzen diren heinean.

Zorionak!



Itzuli blogera

Utzi iruzkin bat

Kontuan izan iruzkinak argitaratu aurretik onartu behar direla.