{"Block":"User_link","isUserLoggedIn":false,"registre_url":"registre","resetpwd_url":"recuperar-clau","Plugin_version":"1.7"}
Pimec > Actualitat > Què és la NIS2, nova directiva Europea en Ciberseguretat i com afecta la meva pime?
Què és la NIS2, nova directiva Europea en Ciberseguretat i com afecta la meva pime?
15/10/2024

Què és la NIS2, nova directiva Europea en Ciberseguretat i com afecta la meva pime?

En què consisteix la Directiva (UE) 2016/1448 del Parlament Europeu NIS2? Apareix com a resposta als reptes actuals en matèria de ciberseguretat, és l’evolució de la NIS1 i l’objectiu és unificar els criteris dels estats membres de la UE en aquesta matèria. Com a data màxima el 17 d’octubre del 2024, els estats membres adoptaran i publicaran les mesures necessàries per donar compliment a l’establert a la Directiva i serà d’aplicació a partir del 18 d’octubre del 2024. Espanya està pendent d’aquesta transposició. Estableix mesures per a la gestió dels riscos i obligacions de notificació dintre del seu àmbit d’aplicació. Les mesures són de caràcter tècnic, operatiu i d’organització per a la gestió dels ciberriscos i per a minimitzar les repercussions dels incidents.   Aquesta directiva afecta la meva pime? Aplica tant a empresa pública com privada. L’abast de la NIS2 quant a pimes inclou: Mitjanes empreses dels sectors indicats al final d’aquesta secció. Petites i microempreses claus que els Estats determinin d’aquests sectors. Indirectament, a pimes de cadena de subministrament, és a dir, que ofereixin serveis, sistemes o productes a entitats públiques i privades en l’àmbit de la NIS. Els sectors de les entitats públiques i privades als quals s’aplicarà són: Sectors d’alta criticitat
Energia Banca Espai Sanitat
Transport Infraestructura digital Aigües potables Aigües residuals
Administració pública Gestió de serveis TIC Infraestructures de mercats financers
  Sectors crítics
Investigació Química Alimentació Serveis Postals
Proveïdors digitals Fabricació Gestió de residus  
(*) Es pot consultar la directiva a Directiva – 2022/2555 – EN – EUR-Lex (europa.eu)   Quines són les mesures mínimes a complir? Tot i que les mesures per a la gestió dels ciberriscos està definida per la mateixa directiva, s’estableixen diferents criteris de proporcionalitat en funció del grau d’exposició de l’entitat als riscos, la mida de l’empresa i la probabilitat que es produeixin incidents i la seva gravetat, incloses repercussions socials i econòmiques. Les mesures es fonamentaran en un enfocament basat en tots els perills que tingui per objecte protegir els sistemes de xarxes i informació i l’entorn físic d’aquests sistemes enfront d’incidents, i inclouran com a mínim els següents elements: -Polítiques de seguretat dels sistemes d’informació i anàlisi de riscos. -Gestió d’incidents. -Continuïtat de les activitats, com la gestió de còpies de seguretat  i la recuperació en cas de  catàstrofe i gestió de crisi. -Seguretat de la cadena de subministrament, inclosos els aspectes de seguretat relatius a les relacions entre cada entitat i els seus proveïdors o prestadors de serveis directes. -Seguretat en l’adquisició, el desenvolupament i el manteniment de sistemes de xarxes i d’informació, inclosa la gestió i divulgació de les vulnerabilitats. -Polítiques i procediments per avaluar l’eficàcia de les mesures per a la gestió de riscos de ciberseguretat -Pràctiques bàsiques de seguretat en entorns cibernètics i formació en ciberseguretat. -Polítiques i procediments relatius a la utilització de criptografia i, si és el cas, de xifratge. -Seguretat dels recursos humans, les polítiques de control d’accés i la gestió d’actius. -Ús de solucions d’autenticació multifactorial o d’autenticació contínua, comunicacions de veu, vídeo i tests segurs i sistemes segurs de comunicacions d’emergència en l’entitat, quan siguin necessaris.   Hauré de notificar incidents significatius? Les entitats afectades han de notificar qualsevol incident que: -Ha provocat o pot provocar pertorbacions significatives a l’operació dels serveis o pèrdues econòmiques per a l’entitat afectada. -Ha causat o pot causar mal a altres persones físiques o jurídiques en causar danys materials o immaterials significatius.   Multes i sancions Els estats membres establiran el règim de sancions aplicables a qualsevol incompliment de les disposicions nacionals adoptades i totes les mesures necessàries per garantir l’execució. Per les “entitats essencials” (art. 3 Directiva) les multes poden arribar fins als 10 milions d’euros o el 2% de la facturació anual global. I per les “entitats importants” (art. 3 Directiva) fins a 7 milions d’euros o l’1,4% de la facturació anual global.   Més informació: inavarra@pimec.org
Compartir:

linkedin share button