Guia completa sobre la Directiva NIS2: tot allò que les empreses han de saber per complir la nova normativa europea de ciberseguretat

La seguretat digital s'ha convertit en una prioritat màxima per a les organitzacions que operen a la Unió Europea. L'acceleració dels processos de digitalització i l'augment exponencial dels ciberatacs han fet evident la necessitat d'una regulació comuna i robusta, capaç de protegir tant l'economia com els serveis essencials i la privadesa dels ciutadans. En aquest context, la Directiva NIS2 ha fet un pas endavant, ampliant les seves exigències i endurint tot allò relatiu a la ciberseguretat, amb un abast sense precedents a Europa.

Tant si formeu part de la direcció d'una empresa, del sector públic o sou responsable de TI, és imprescindible conèixer en profunditat com us afecta la NIS2. Aquest article recull de manera exhaustiva els aspectes clau de la directiva, a qui s'aplica, les seves exigències tècniques i operatives, dates clau, procediments de notificació d'incidents, impacte sobre la cadena de subministrament, noves responsabilitats directives, sancions, la transposició legislativa imminent a Espanya i recursos pràctics per preparar-te i evitar riscos. Si tens interès a evitar multes milionàries, salvaguardar la teva continuïtat de negoci i situar-te a l'avantguarda de la seguretat digital europea, continua llegint.

Què és la Directiva NIS2 i per què és essencial per a Europa?

NIS2 -les sigles de les quals corresponen a "Network and Information Systems Directive 2"- és l'evolució i ampliació de la primera legislació europea sobre ciberseguretat (Directiva NIS de 2016), pensada per donar resposta a un entorn digital molt més complex i exposat. La nova directiva va ser publicada al Diari Oficial de la Unió Europea a finals de 2022 i va entrar formalment en vigor el 16 de gener de 2023. Obliga els estats membres a transposar-la a les seves legislacions nacionals abans del 17 d'octubre del 2024 ia aplicar-la des del 18 d'octubre següent, encara que els terminis s'han estès a alguns països.

L'objectiu de la NIS2 és garantir un nivell de seguretat comú i elevat a les xarxes i sistemes d'informació de tota la Unió Europea, establint les bases perquè l'economia digital —i els serveis bàsics de la societat— es mantinguin protegits davant d'amenaces cada cop més sofisticades i agressives.

Entre les principals novetats destaquen:

• Gran ampliació dels sectors regulats i del nombre d'entitats obligades.
• Requisits molt més estrictes en matèria de gestió de riscos i notificació d'incidents.
• Un sistema de supervisió i sancions homogeni i sever a nivell europeu.
• Noves obligacions específiques per a la cadena de subministrament, proveïdors i subcontractes.
• Un paper reforçat i una responsabilitat directa dels òrgans de direcció de les entitats.

Àmbit d'aplicació: Qui està obligat a complir NIS2?

La NIS2 afecta, de manera directa i obligatòria, entitats públiques i privades dels anomenats “sectors crítics” i “sectors d'alta criticitat” presents als annexos I i II de la directiva. La diferència més gran respecte a la NIS original és que la llista de sectors i tipus d'organitzacions s'ha multiplicat, i el criteri ja no és només l'activitat, sinó també la mida i la importància estratègica.

En línies generals, han de complir NIS2:

• Totes les mitjanes i grans empreses (més de 50 empleats o volum anual de negoci superior a 10 milions d'euros) que operin en aquests sectors.
• En casos específics, també petites empreses i microempreses, si la seva funció és crítica per al país o són l'únic proveïdor d'un servei essencial.

El text legal distingeix entre:

• Entitats essencials: Pertanyents a sectors d'alta criticitat, operadors qualificats de serveis de confiança, registres de noms de domini de primer nivell, proveïdors de DNS, mitjanes empreses proveïdores de xarxes públiques de comunicacions electròniques, certes entitats públiques i aquelles que cada Estat consideri estratègiques.
• Entitats importants: La resta d'entitats de sectors crítics que no compleixin els criteris anteriors.

Els sectors afectats es divideixen en dos grans grups:

Sectors d'alta criticitat (annex I):

• Energia (electricitat, gas, cru, hidrogen, sistemes urbans de calefacció i refrigeració)
• Transport (aeri, ferroviari, marítim i fluvial, per carretera)
• Banca i infraestructures de mercats financers
• Sanitat
• Aigua potable i aigües residuals
• Infraestructura digital (centres de dades, cloud, punts d'intercanvi d'Internet, DNS, etc.)
• Gestió de serveis TIC
• Administracions públiques (central i regional)
• espai

Altres sectors crítics (annex II):

• Serveis postals i de missatgeria
• Gestió de residus
• Indústria química
• Producció, transformació i distribució d'aliments
• Fabricació (incloent informàtica, òptica, material elèctric, maquinària, transport, etc.)
• Proveïdors de serveis digitals (mercats en línia, motors de cerca, plataformes de xarxes socials)
• Recerca

Queden exclosos, llevat d'excepcions, els àmbits de defensa, seguretat nacional, policia, poder judicial, parlaments i bancs centrals.

Recorda: la simple absència de la teva empresa al llistat no t'eximeix de complir si ofereixes serveis clau per al funcionament del país. Els Estats membres poden ampliar la llista d'entitats obligades amb criteris de criticitat nacional.

Principis i novetats clau de la Directiva NIS2

La Directiva NIS2 suposa un canvi radical en la gestió de la ciberseguretat, ja que no només amplia la protecció a més sectors sinó que endureix els requisits i la supervisió. Algunes dels seus principals novetats són:

• Extensió de l'abast: Ja no només obliga prestadors de serveis essencials clàssics o infraestructures crítiques; abasta molts més sectors i tipus d'entitat.
• Enfocament de “mida màxima”: La majoria d'obligacions afecten mitjanes i grans empreses, però hi ha excepcions per a entitats petites si la seva funció és clau.
• Revisió del concepte de crítics: Diferència entre «entitats essencials» i «importants», imposant un règim de supervisió i sanció més sever per a les primeres.
• Harmonització europea: Redueix la variabilitat entre països i facilita la cooperació i la resposta conjunta davant d'incidents transfronterers o de gran escala.

Obligacions principals: què exigeix ​​la NIS2 a les empreses i entitats?

Les obligacions de la NIS2 són nombroses i s'articulen al voltant de dos grans eixos: la gestió proactiva dels riscos de ciberseguretat i la notificació àgil d'incidents significatius. A més a més, es reforça la governança interna i la relació amb proveïdors, clients i autoritats.

1. Avaluació i gestió de riscos de ciberseguretat

Totes les entitats obligades han didentificar, analitzar i tractar els riscos que amenacin la disponibilitat, confidencialitat, integritat i autenticitat dels seus sistemes i serveis digitals.

Les mesures mínimes inclouen:

• Polítiques de seguretat i anàlisi de riscos: Inventari d'actius, identificació d'amenaces, vulnerabilitats i possibles impactes.
• Gestió d'incidents: Plans de resposta, equips especialitzats i sistemes de monitorització.
• Continuïtat de negoci i gestió de crisis: Còpies de seguretat, proves periòdiques de restauració, plans alternatius i gestió de la resiliència davant de desastres.
• Seguretat de la cadena de subministrament: Exigir i verificar que proveïdors i socis compleixen estàndards, i posar-ho per escrit en contractes.
• Seguretat en desenvolupament, adquisició i manteniment de sistemes: Xifratge, control d'accessos, actualització i pegat regular.
• Avaluació periòdica de l'eficàcia de les mesures: Auditories i revisions periòdiques (internes o externes) per comprovar-ne el compliment.
• Formació periòdica en ciberseguretat i ciberhigiene per a tots els empleats i especialment la direcció.
• Polítiques de xifratge i protecció d'informació.
• Control d'accessos, autenticació multifactor i gestió d'actius.

2. Notificació dincidents: terminis i procediments

La notificació ràpida a les autoritats és un dels pilars principals de la NIS2. Les entitats han d'informar els CSIRT (equips de resposta a incidents) o autoritats competents nacionals de qualsevol incident significatiu que causi o pugui causar interrupcions operatives greus, danys econòmics rellevants o afecti tercers.

Els terminis són extremadament estrictes:

• Alerta primerenca: Dins de les primeres 24 hores després de tenir constància de lincident.
• Notificació completa: En un màxim de 72 hores, actualitzant informació, gravetat, impacte i mesures preses. (Per a prestadors de serveis de confiança, 24 hores).
• Informe final: En el termini d'un mes, amb tots els detalls rellevants, causes, mesures i repercussions.

Cal recordar que també hi ha l'obligació d'informar els usuaris o clients afectats quan l'incident els pugui impactar greument, oferint pautes d'actuació i mesures per a la protecció.

3. Governança, formació i responsabilitat directiva

La NIS2 posa el focus en la implicació de l'alta direcció. Els equips directius han d'aprovar les mesures de seguretat i supervisar-ne activament la implantació. A més, s'han de formar i capacitar periòdicament (i el mateix per als empleats).

La directiva preveu expressament que, en cas de negligència greu o manca de supervisió, els responsables directius poden ser sancionats, fins i tot amb la inhabilitació temporal per ocupar el càrrec en entitats essencials.

4. Gestió de la cadena de subministrament i seguretat en acords amb proveïdors

Els incidents derivats de la cadena de subministrament han estat un dels vectors més greus de ciberatacs recents a Europa. Per aquest motiu, la NIS2 exigeix ​​que les entitats avaluïn i controlin la seguretat dels seus proveïdors directes i subcontractes, incorporant clàusules i exigències de ciberseguretat als contractes, realitzant auditories, avaluant la resiliència global dels productes i serveis, i monitoritzant les vulnerabilitats conegudes en els components de tercers.

5. Col·laboració i cooperació internacional

S‟estableix com a obligatori l‟intercanvi d‟informació rellevant sobre amenaces, incidents, vulnerabilitats i millors pràctiques tant de manera nacional com a través de mecanismes europeus (Grup de Cooperació, xarxa de CSIRT i EU-CyCLONe per a gestió de crisis a gran escala).

6. Auditories, inspeccions i règim de supervisió

La directiva diferencia dos sistemes de supervisió:

• Per a entitats essencials: Auditories periòdiques, inspeccions presencials o remotes, supervisió contínua per part d'organismes nacionals i règim de sancions tant a priori com a posteriori.
• Per a entitats importants: Supervisió únicament reactiva, és a dir, només després d'indicis o proves d'incompliment.

Les autoritats poden exigir documentació, resultats d'auditories, accés a sistemes i dades, o fins i tot la publicació pública d'incompliments greus.

7. Altres obligacions rellevants

• Registre obligatori dentitats, informació bàsica i actualitzacions periòdiques a les autoritats competents.
• Col·laboració amb organismes europeus, inclusió a la base de dades d'ENISA d'entitats clau europees.
• Mecanismes sectorials dentrada única per a notificació i gestió dincidents.
• Requisits de protecció de dades sempre sota el Reglament General de Protecció de Dades (RGPD/GDPR).

Dates clau i calendari d'aplicació de la Directiva NIS2

El calendari d‟implantació i compliment és un dels aspectes més delicats de la NIS2. Aquestes són les dates crítiques:

• 16 de gener de 2023: Entrada en vigor oficial de la directiva.
• 17 d'octubre de 2024: Data límit perquè els països adoptin i publiquin les legislacions nacionals que trasposen NIS2.
• 18 d'octubre de 2024: Aplicació imminent a tots els Estats membres; les entitats han d'estar preparades.
• 17 d'abril de 2025: Data límit per elaborar i comunicar a Brussel·les la llista d'entitats essencials i importants a nivell nacional.
• 17 de gener de 2025: Data límit per notificar el règim de sancions aplicable a cada país.

La resta de fites com l'elaboració d'estratègies nacionals de ciberseguretat o la publicació d'actes d'execució (requisits tècnics específics) tenen dates que es publiquen periòdicament als portals oficials europeus i nacionals.

Transposició a Espanya: Llei de Coordinació i Governança de la Ciberseguretat

Espanya ha aprovat l‟Avantprojecte de Llei de Coordinació i Governança de la Ciberseguretat per adequar el seu marc legal a la NIS2. Tot i que el text definitiu pot patir ajustaments, els aspectes fonamentals inclouen:

• Àmbit d'aplicació ampli: Inclou organitzacions públiques i privades amb seu o operant a Espanya, a tots els sectors crítics i d'alta criticitat, segons els annexos de la directiva.
• Obligacions detallades d'anàlisi de risc i protecció de xarxes, sistemes i serveis, incloent-hi l'avaluació de proveïdors i socis amb accés a dades crítiques.
• Obligació de notificar incidents rellevants i amenaces greus tant a autoritats com a usuaris o clients afectats.
• Creació de la figura del responsable de seguretat de la informació a cada entitat, encarregat de dissenyar, supervisar i garantir el compliment normatiu, centralitzant la gestió.
• Establiment del Centre Nacional de Ciberseguretat com a coordinador principal estatal i canal d'interlocució amb la UE.
• Assignació de competències de control i supervisió a diversos ministeris: Interior (Oficina de Coordinació de Ciberseguretat), Defensa (CCN), Transformació Digital, juntament amb les autoritats sectorials.
• Equips especialitzats en gestió d'incidents, detecció de vulnerabilitats, suport a les entitats afectades i emissió d'alertes primerenques.
• Tramitació urgent i coordinació parlamentària prioritària per accelerar l'entrada en vigor de la llei abans dels terminis regulats per la UE.

Classificació d'entitats: “essencials” i “importants”

La NIS2 estableix dues categories diferenciades d'entitats:

• Entitats essencials: Grans empreses de sectors d'alta criticitat, proveïdors qualificats de confiança i DNS, empreses mitjanes en certs subsectors, entitats crítiques segons legislació nacional, i aquelles que l'Estat decideixi (com antics operadors de serveis essencials NIS1).
• Entitats importants: Totes les altres incloses en sectors crítics que no compleixen criteris essencials.

Aquesta distinció afecta la intensitat de la supervisió, la duresa de les sancions i el tipus d'obligacions documentals.

Obligacions de notificació d'incidents i gestió de crisis

Les empreses i entitats han de tenir molt clars els conceptes d'“incident significatiu”, “quasiincident” i “ciberamenaça significativa”:

• Incident significatiu: Qualsevol succés que generi greus interrupcions dels serveis, pèrdues econòmiques rellevants o causi perjudici important a persones físiques o jurídiques.
• Ciberamenaça significativa: Amenaça tècnica que, per la seva envergadura, pot provocar danys o disrupcions notables.
• Quasiincident: Esdeveniment que podria haver causat un incident, però no es va arribar a materialitzar gràcies a mesures preventives.

En tots aquests casos, la notificació s'ha de fer preferentment per mitjans electrònics, a través del punt d'entrada nacional específic, i seguint el procediment:

• Alerta primerenca inicial (24h).
• Notificació avançada completa (72h, excepte excepcions).
• Informe final (1 mes després de tancar l'incident).

El no compliment en temps i forma de la notificació es pot considerar infracció greu i sancionable.

Mesures tècniques, operatives i organitzatives requerides

La NIS2 recull un llistat mínim de mesures que totes les entitats han d'adoptar, encara que sempre tenint en compte el principi de proporcionalitat i el cost d'implementació:

• Polítiques internes de seguretat i anàlisi de riscos continus.
• Gestió i resposta davant d'incidents: Incloent sistemes de monitoratge, equips de resposta, integració amb CSIRT i protocols d'escalat.
• Plans de continuïtat de negoci, gestió de backups, testeig de recuperació i plans de crisi.
• Gestió rigorosa de la cadena de subministrament i proveïdors: Auditoria, exigències contractuals, supervisió de la resiliència de productes i serveis, integració de bones pràctiques de ciberseguretat de tercers.
• Seguretat en el cicle de vida de sistemes i aplicacions: Ús de xifrat, programació segura, pegat i control d'accessos.
• Avaluació periòdica de l'eficàcia de mesures: Auditories internes i externes, revisió documental i proves tècniques.
• Programes de formació interna i sensibilització regular.
• Polítiques clares d'ús de criptografia i autenticació multifactor.
• Gestió d'actius, inventari i control d'accés a la informació.

Sancions i règim de supervisió

Les sancions previstes per la NIS2 són especialment severes per a les entitats essencials, amb l'objectiu de garantir el compliment i l'efectivitat de la norma:

• Entitats essencials: Multes de fins a 10 milions d'euros o el 2% del volum de facturació anual global (elegint la quantitat més gran).
• Entitats importants: Multes de fins a 7 milions d'euros o el 1,4% del volum de facturació anual global (elegint la quantitat més gran).

A més, les sancions poden ser públiques i implicar la suspensió de certificacions, la publicació de l'incompliment o fins i tot la inhabilitació temporal de càrrecs directius en els casos més greus.

Com preparar-se per complir la NIS2: passos pràctics

El compliment de la NIS2 és ineludible. Les empreses han de començar immediatament un full de ruta que inclogui:

• Inventari exhaustiu d´infraestructura de TI i actius digitals.
• Anàlisi de riscos i definició de polítiques de ciberseguretat alineades amb ISO 27001, ENS i altres marcs reconeguts internacionalment.
• Revisió i actualització de contractes i acords amb proveïdors per assegurar el compliment a la cadena de subministrament.
• Implantació de plans de resposta a incidents i disseny de canals interns d'alerta i de comunicació fluida amb CSIRT.
• Realització d'auditories de ciberseguretat periòdiques (internes i externes).
• Formació específica i contínua a directius i plantilla.
• Establiment de mecanismes de monitorització i alerta precoç.
• Designació formal del responsable de seguretat de la informació.
• Elaboració de protocols documentats de notificació i gestió de crisis.