La Directiva NIS2 és una normativa de la Unió Europea que té com a objectiu millorar la seguretat de les xarxes i sistemes d’informació a tota la UE. Va ser adoptada per fer front als creixents riscos de seguretat cibernètica, especialment a mesura que les infraestructures crítiques i els serveis digitals esdevenen més interconnectats. La Directiva NIS2 té la finalitat de crear un entorn més segur per a les infraestructures crítiques i els serveis digitals, protegint així tant les empreses com els ciutadans de possibles incidents cibernètics.
Quan entra en vigor la Directiva NIS2?
La Directiva NIS2 va quedar aprovada formalment al novembre de 2022; la seva publicació en el Diari Oficial de la UE (DOUE) va tenir lloc al desembre de 2022; i va entrar en vigor el 16 de gener de 2023.
Enduriment de les sancions i més supervisió de les autoritats nacionals
Un altre aspecte rellevant de la Directiva NIS2 és l’enduriment de les sancions en cas d’incompliment. Les multes poden ser significatives, amb sancions de fins al 2% de la facturació anual global d’una empresa o 10 milions d’euros, la qual cosa sigui major. Aquestes mesures busquen incentivar a les organitzacions a complir amb els nous requisits de ciberseguretat i prendre de debò les seves obligacions legals.
A més, la directiva estableix un sistema de supervisió més rigorós per part de les autoritats nacionals, la qual cosa garanteix una aplicació uniforme i efectiva de les normes en tota la UE.
No obstant això, a l’efecte de compliment, cal esperar a la transposició de la Directiva NIS2 a les legislacions de cada Estat membre. El termini per a aquest tràmit finalitza el 17 d’octubre de 2024. Més enllà d’aquesta data, cada Estat membre haurà de comunicar el règim sancionador aplicable amb límit en el 17 de gener de 2025; mentre que per al 17 d’abril de 2025 com a límit s’espera l’elaboració de la llista d’entitats essencials i importants per part dels Estats membres.
Principals aspectes de la NIS2:
- Àmbit d’aplicació ampliat: La directiva s’aplica a un major nombre d’organitzacions, incloent sectors com el transport, la salut, la banca i els serveis digitals, així com a empreses de mida mitjana i gran.
- Requisits de seguretat: Estableix mesures de seguretat més rigoroses que les seves predecessores, obligant les empreses a implementar protocols de seguretat, fer avaluacions de riscos i tenir plans de resposta a incidents.
- Col·laboració: Fomenta la cooperació entre estats membres i la creació d’una xarxa per compartir informació sobre amenaces i vulnerabilitats.
- Sancions: Inclou sancions severes per a les empreses que no compleixin amb les normatives, reforçant la importància de la seguretat cibernètica.
- Adaptació tecnològica: Reconeix la necessitat d’adaptar-se a l’evolució tecnològica, tenint en compte les noves amenaces que poden sorgir amb el desenvolupament de la intel·ligència artificial i altres tecnologies emergents.
