Estratègia de ciberseguretat NIS2

Direcció general i Gerència

Sistemes Informació

La Directiva NIS2, la segona iteració de la Directiva de Seguretat de les Xarxes i de la Informació, es basa en el fet que tots els estats membres hauran de reportar els incidents de seguretat que estan succeint per a tenir una visió global a nivell europeu en ciberseguretat de manera que es pugui vetllar per la seguretat de les xarxes i sistemes d’informació en el territori de la UE. Així mateix, aquesta normativa exposa les mesures destinades a garantir un elevat nivell comú de ciberseguretat en tota la Unió Europea.

Va ser publicada al setembre de 2022 i s’ha establert un termini perquè els Estats membres traslladin la directiva a la seva legislació que finalitza el 17 de gener de 2024. Una vegada la legislació estigui definida, durant el primer trimestre de 2025, els Estats hauran de comunicar el règim sancionador aplicable per incompliment a totes aquestes entitats que es vegin afectades.

L’antiga Directiva NIS ja aplicava a una àmplia gamma de sectors com per exemple el de l’energia, banca, transport o sector sanitari. Actualment s’ha ampliat a 18 sectors, els quals es divideixen en dues tipologies: Alta Criticitat que corresponen a entitats essencials i altres sectors crítics.

• Alta Criticitat: Energia, Transport, Espai, Infraestructures de mercats financers, Sector Sanitari, Banca i Infraestructura digital
• Altres sectors crítics: Aigües potables, Administració Pública, Proveïdors digitals, Alimentació, Recerca, Gestió de residus, Aigües residuals, Gestió de serveis TIC (B2B), Serveis postals, Fabricació i Química

Dins d’aquests sectors estaran exemptes les microempreses, petites i mitjanes empreses de menys de 250 persones, el volum de negocis anual de les quals no excedeixi els 50 M€ o el balanç general anual de les quals no excedeixi els 43 M€.

De totes maneres, existeix una excepció dins d’aquest últim requeriment. Independentment de la grandària, la Directiva serà aplicada a aquelles empreses que donin servei de comunicacions, dominis, xarxes, etc.

Els estats membres tindran com a data límit el 17 de gener de 2025 per a comunicar el règim de sancions aplicables per incompliment a la Comissió Europea. De totes maneres, la NIS2 estableix un marc de sancions que seran efectives, proporcionals i dissuasives tenint en compte les circumstàncies en cada cas particular.

Els estats membres prendran com a referència les següents quanties en funció del tipus d’entitat:

• Per a les entitats essencials, les sancions podran ser, optant-se per la de major quantia, de fins a 10 M€ o d’un màxim d’un 2% del volum de negoci anual total a nivell mundial de l’exercici financer anterior
• Per a les entitats importants, les sancions podran ser, optant-se per la de major quantia, de fins a 7 M€ o d’un màxim d’un 1,4% del volum de negoci anual total a nivell mundial de l’exercici financer anterior

A més de les sancions econòmiques, la NIS2 també contempla la possibilitat d’altres mesures correctives, com la supervisió contínua, auditories de seguretat i la imposició de mesures específiques per a abordar les deficiències identificades en els sistemes de ciberseguretat.

La nova Directiva NIS2 obliga les companyies a notificar els incidents de seguretat al CSIRT assignat de referència, o a l’autoritat competent assignada.

Què cal notificar?

Qualsevol incident que tingui un impacte significatiu, és a dir, que suposi una parada en la producció i provoqui una discontinuïtat del negoci, i que tingui un impacte reputacional o econòmic dins de la companyia.

Com cal notificar-ho?

Una vegada s’hagi detectat l’incident, la notificació haurà de realitzar-se dins de les primeres 24h i al cap de 72h caldrà actualitzar l’evolució de la resolució de l’incident de seguretat exposant la gravetat, impacte i quins són els indicadors de compromís identificats.

Finalment, en el termini d’un mes caldrà realitzar un informe final amb detall de l’incident i les mesures adoptades per a solucionar-lo.

KIT CONSULTING

Kit Consulting és el programa d’ajudes del Govern d’Espanya que permet a pimes com la teva dissenyar el full de ruta per a la seva transformació digital.

Es tracta d’un Bo d’Assessorament Digital dotat d’una quantia que hauràs d’emprar en la contractació dels serveis d’assessorament. La quantia mínima són 12.000€ i la máxima fins a 24.000€, varia en funció de la grandària que tingui la teva empresa.

• Servei d’Assessorament en Ciberseguretat (bàsic) 6.000€
  El principal objectiu d’aquest servei és dotar-te d’un pla bàsic de ciberseguretat adaptat a les necessitats específiques de la teva pime. També, de realitzar un cas d’ús adaptat. Es busca aplicar la documentació bàsica del seu Sistema de Gestió de Seguretat de la Informació (SGSI) segons ISO 27001 i ENS (categoria mitjana-alta).
• Servei d’Assessorament en Ciberseguretat (avançat) 6.000€
  Podràs sol·licitar aquest Servei d’Assessorament si ja comptes amb una protecció de seguretat bàsica i un pla de ciberseguretat, però vols conèixer sistemes de protecció mes avançats.

KIT DIGITAL

Kit Digital és una iniciativa del Govern d’Espanya, l’objectiu del qual és subvencionar la implantació de solucions digitals disponibles en el mercat per a aconseguir un avanç significatiu en el nivell de maduresa digital.

• Ciberseguretat – Import màxim 29.000€
  L’objectiu d’aquesta solució és proporcionar seguretat bàsica i avançada per als dispositius dels teus empleats.
• Servei de Ciberseguretat Gestionada – Import màxim 29.000€
  El principal objectiu d’aquesta categoria és proporcionar-te un servei que combini tècniques de EDR (Endpoint Detection and Response) i MDR (Managed Detection and Response) per a detectar incidents de ciberseguretat en temps real i abordar-los de la forma més ràpida i eficaç possible.