top of page
Cerca

NIS2: la nova directiva europea de ciberseguretat explicada de forma clara


La nova Directiva NIS2 marca un abans i un després en la manera com empreses i institucions europees gestionen la ciberseguretat. Per entendre què implica i com afecta les organitzacions, Rafael Jimeno, advocat especialitzat en dret digital i fundador d’Uneon –empresa associada a ASCICAT–, ofereix una explicació senzilla i directa en aquest vídeo divulgatiu.

No és només una norma tècnica: la NIS2 representa un canvi de cultura que impulsa la resiliència, la prevenció i la capacitat de resposta davant els incidents digitals..


Què és la NIS2?

La NIS2 (Network and Information Security Directive) és la nova normativa europea sobre seguretat de les xarxes i la informació.

Substitueix la NIS1 i amplia tant l’abast com les obligacions per a empreses públiques i privades.

El seu objectiu principal és:

  • Garantir que les organitzacions mantinguin l’activitat davant un ciberincident.

  • Minimitzar l’impacte i evitar la propagació d’atacs.

  • Enfortir la coordinació europea en matèria de ciberseguretat.


A qui afecta la NIS2?

Aquesta directiva afecta milers d’empreses i institucions a tot Europa. En concret:

  • Administracions públiques (estatals, autonòmiques i locals).

  • Empreses amb més de 50 treballadors o una facturació superior als 10 milions d’euros.

  • Sectors essencials i crítics com energia, aigua, sanitat, finances, alimentació, logística, gestió de residus, transports o infraestructures digitals.

  • També proveïdors tecnològics i la cadena de subministrament d’aquestes organitzacions, fins i tot si són PIMEs.

“La NIS2 no només regula grans empreses: afecta qualsevol actor que formi part d’un servei essencial o en sigui proveïdor directe”, destaca Rafael Jimeno, advocat d’Uneon.
ree

Quan s’aplica la NIS2?

La directiva va entrar en vigor el gener de 2023 i els estats membres tenen fins al 17 d’octubre de 2024 per adaptar-la a la seva legislació nacional.A Espanya, el projecte de llei de transposició està en la seva fase final, i moltes organitzacions ja han començat a aplicar-la per anticipar-se als futurs requeriments legals i contractuals.


Quines obligacions introdueix?

La NIS2 estableix mesures tècniques, jurídiques i organitzatives per garantir un nivell comú de seguretat.


Mesures tècniques:

  • Autenticació multifactor (MFA) i xifrat de dades.

  • Còpies de seguretat immutables i desconnectades de la xarxa principal.

  • Auditories de riscos i proves d’intrusió (pentests) anuals.

  • Sistemes de detecció i resposta (SOC, SIEM, XDR).


Mesures jurídiques i organitzatives:

  • Formació i conscienciació de tot el personal.

  • Plans de continuïtat i contingència davant incidents.

  • Revisió de contractes amb proveïdors crítics.

  • Comunicació obligatòria d’incidents en un màxim de 24 hores.

  • Responsabilitats definides a nivell directiu i de gestió.

“La NIS2 ens obliga a madurar com a organitzacions digitals —explica en Jimeno—. Igual que la DGT ens obliga a portar cinturó de seguretat, ara la Unió Europea ens demana portar ‘cinturó digital’.”
ree

Quines sancions preveu la NIS2?

Les sancions per incompliment poden arribar fins als 10 milions d’euros o el 2% de la facturació global anual. Fins i tot les infraccions lleus poden comportar multes importants i un impacte reputacional si no es notifica un incident dins del termini establert.


Com començar a complir amb la NIS2?

Segons Rafael Jimeno, aquests són els tres passos essencials per començar amb bon peu:

  1. Formar tota la plantilla en ciberseguretat.

  2. Implementar backups immutables i segregats.

  3. Realitzar proves d’intrusió i revisar els proveïdors crítics.

La clau, diu, és entendre que la NIS2 no és un projecte puntual, sinó un procés continu d’auditoria, seguiment i millora constant.



 
 
 

Comentaris

bottom of page