Noves normes sobre ciberseguretat també per a Pimes

02/10/2024

El 17 d’octubre de 2024 acaba el termini de transposició de la Directiva (UE) 2022/2555 del Parlament Europeu i del Consell (NIS 2) sobre mesures adreçades a garantir un nivell comú de ciberseguretat a tota la Unió.

Ja fa vuit anys, el 2016, la Unió Europea va aprovar la directiva NIS, (trasposta a la legislació espanyola pel Reial Decret Llei 12/2018) amb l’objectiu de vincular determinades empreses (anomenades llavors Operadors de Serveis Essencials) amb mesures de ciberseguretat.

Amb el pas del temps i l’avenç de la digitalització, s’ha fet necessari actualitzar i avançar l’entramat jurídic del ciberdret, sobretot pel que fa a la seva aplicació a empreses mitjanes i petites dimensions.

La Directiva NIS2, Directiva (UE) 2022/2555 (Network and Information Security), estableix un marc de seguretat de la informació per garantir la protecció dels sistemes i les xarxes d’informació, amb la finalitat de prevenir atacs i garantir la continuïtat dels serveis.

La nova norma requereix que els Estats membres:

  • Adoptin estratègies de ciberseguretat.
  • Establiu autoritats competents.
  • Designin autoritats de gestió de crisis de ciberseguretat.
  • Indiqueu punts de contacte únics.
  • Formen equips de resposta a incidents de seguretat informàtica (CSIRT, per les sigles en anglès: “Computer Security Incident Response Team”).

Nous sectors i entitats aplicables Sectors d’Alta Criticitat (11 sectors):

  • Energia.
  • Banca.
  • Infraestructures de mercats financers.
  • Sector sanitari.
  • Transport.
  • Infraestructura digital.
  • Aigües potables.
  • Aigües residuals.
  • Administració pública (amb exclusió del poder judicial, parlaments i bancs centrals).
  • Gestió de serveis TIC (Business to Business).
  • Espai.

Altres sectors crítics (7 sectors):

  • Investigació.
  • Química.
  • Alimentació.
  • Serveis postals.
  • Proveïdors digitals.
  • Fabricació
  • Gestió de residus.

Es distingeixen dos tipus d’entitats:

Entitats essencials, que són les que pertanyen als sectors d’alta criticitat, així com els prestadors qualificats de serveis de confiança i registres de noms de domini de primer nivell i proveïdors de serveis de DNS, independentment de la seva mida.

També es consideren essencials els proveïdors de xarxes públiques de comunicacions electròniques o de serveis de comunicació electrònics disponibles per al públic que siguin considerades mitjanes empreses, entitats de l’Administració Pública, qualsevol altra entitat pertanyent a altres sectors crítics que l’Estat membre identifiqui com a entitat essencial, les entitats crítiques identificades per la Directiva CER, i, si així ho disposa l’Estat membre, les entitats identificades com a operadors de serveis essencials de conformitat amb l’anterior Directiva NIS.

Entitats importants, que són totes aquelles que pertanyin als sectors d’alta criticitat o altres sectors crítics que no es puguin considerar entitats essencials.

Responsabilitat dels directius
L’articulat de la Directiva NIS2 exigeix ​​als estats membres que:

  • Garanteixin que els òrgans de direcció de les organitzacions aprovin les mesures de gestió dels riscos de ciberseguretat.
  • Supervisin l’aplicació d’aquestes mesures.
  • Puguin arribar a ser fins i tot responsables de les infraccions previstes.

A més, els òrgans de direcció estan obligats a mantenir-se actualitzats quant a formació es refereix, i se’ls anima a instruir les seves plantilles. D’aquesta manera, els empleats adquiriran coneixements i aptituds suficients per identificar els riscos, avaluar pràctiques de gestió i analitzar-ne l’impacte en els serveis prestats per l’organització.

Nous requisits de seguretat
Les organitzacions essencials i importants estaran obligades a adoptar mesures tècniques, operatives i organitzatives per gestionar els riscos de seguretat de les xarxes i sistemes de informació.

La proporcionalitat es basa en l’exposició al risc de l’organització, la mida i la probabilitat i gravetat de possibles incidents, inclòs limpacte econòmic i social.

Les organitzacions han d’adoptar un enfocament per estar preparades davant de tot l’espectre d’incidents i ser capaços de protegir els sistemes de xarxa i informació i l’entorn físic d’aquests sistemes.

Cadena de subministrament
Especial atenció mereix la cadena de subministrament ja que, la Directiva NIS2 posa èmfasi en els riscos provinents d’aquesta i en la seva relació amb proveïdors situant-los en una posició estratègica de cara a la gestió de la ciberseguretat.

Les entitats essencials i importants han d’avaluar i tenir en compte la qualitat general i resiliència dels productes i els serveis, les mesures per a la gestió de riscos de ciberseguretat integrades en ells i les pràctiques en matèria de ciberseguretat dels seus proveïdors i prestadors de serveis, inclosos els seus procediments de desenvolupament segur.

Hauran d’incorporar mesures per a la gestió de riscos als acords contractuals amb els seus proveïdors i prestadors de serveis directes.

Informe d’incidents obligatori
Igual que dicta el Reglament General de Protecció de Dades, la Directiva NIS2 requereix als operadors de serveis essencials i als proveïdors de serveis digitals que informin sobre certs tipus d’incidents greus a les autoritats en un termini de 72 hores. Així mateix, es estableix l’obligació de notificar als seus CSIRT de referència sense demora indeguda, els incidents de seguretat que tinguin un impacte significatiu.

S’entén per impactes significatius els que causin o puguin causar greus pertorbacions operatives dels serveis o pèrdues econòmiques a l’entitat i afectin o puguin afectar altres persones físiques o jurídiques.

El flux de notificació que proposa la Directiva NIS 2 per als incidents significatius és el següent:

  1. Notificació inicial. Alerta primerenca: en un termini de 24 HORES des que s’hagi tingut constància de l’incident.
  2. Notificació intermèdia: Passades 72 HORES des de la detecció de l’incident, les entitats haurien d’actualitzar l’estat de l’incident exposant una avaluació inicial.
  3. Notificació final: UN MES després de la notificació de l’incident, les entitats han de presentar un informe final que arreplegue una descripció detallada del mateix (incloent gravetat, impacte, tipus d’amenaça que hagi provocat l’incident, mesures pal·liatives aplicades i en curs i, si escau, repercussions transfrontereres).

Règim sancionador
Els Estats membres tindran la possibilitat d’imposar sancions administratives a les entitats que incompleixin amb els requisits de la Directiva NIS 2, en especial els requisits referits a les mesures per a la gestió de riscos de ciberseguretat i les obligacions de notificació.

Les sancions hauran de ser efectives, proporcionals i dissuasòries tenint en compte les circumstàncies en cada cas. A l’hora de fer la transposició i establir el règim sancionador els Estats membres podran prendre com a referència les quanties següents en funció del tipus d’entitat:

Per a les entitats essencials, la sanció podrà ser, la més gran de:

  • 10.000.000€.
  • Un màxim del 2% del volum de negoci anual total a nivell mundial de l’exercici financer
    anterior.

Per a les entitats importants, la sanció podrà ser, la més gran de:

  • 7.000.000€.
  • Un màxim d’un 1.4% del volum de negoci anual total a nivell mundial de l’exercici financer
    anterior.

Els Estats membres tindran com a data límit el 17 de gener de 2025 per comunicar el règim de sancions aplicables per incompliment a la Comissió Europea.

Ciberseguretat també per a pimes
El 43% dels ciberatacs a nivell mundial es dirigeixen a pimes, un problema que és especialment greu en el cas de països com Espanya, on més del 95% del teixit productiu està format per petites i mitjanes empreses.

S’estima que Espanya pateix prop de 30.000 ciberatacs a l’any, amb les pimes com a baula més dèbil, ja que són l’objectiu de set de cada deu d’aquestes agressions.

La Unió Europea, conscient d’aquesta situació, ha tingut en compte a la nova Directiva les mitjanes empreses de sectors crítics, com a entitats dins del seu abast, així com determinades petites i microempreses que posin de manifest el seu paper clau per a la societat o l’economia. En concret, l’abast de la Directiva NIS2 respecte a aquesta mida de empreses inclou:

  • Mitjanes empreses dels sectors privats indicats i també als annexos I i II de la directiva: energia, transport, banca, infraestructures de mercats financers, sector sanitari…
  • Petites i microempreses claus que els Estats determinin d’aquests sectors. En particular: proveïdors de confiança qualificats, proveïdors DNS, registres de noms de domini de primer nivell i entitats que proveeixen de serveis de registre de noms de domini.
  • Pimes de cadena de subministrament, és a dir, que ofereixin serveis, sistemes o productes a entitats públiques i privades a l’àmbit de la NIS2. Per exemple: proveïdors de serveis de emmagatzematge i tractament de dades o proveïdors de serveis de seguretat gestionats i desenvolupadors de programari.

Si bé les mesures per a la gestió dels ciberriscos que han dimplantar les entitats obligades per la NIS2 afecten totes per igual, la directiva apunta com un dels criteris de proporcionalitat en la seva aplicació la mida de les mateixes. A més, han d’adoptar una sèrie de pràctiques bàsiques relacionades amb els seus entorns tecnològics, organització i personal.

I si no sóc una pime ni essencial ni important, quines pràctiques he d’adoptar?
Seguint el considerant 89 de la NIS2, totes les pimes, afectades o no, haurien d’adoptar les següents pràctiques de ciberhigiene:

  • Implantar la gestió d’identitats i accés.
  • Conscienciar els usuaris.
  • Organitzar formacions per al vostre personal.
  • Sensibilitzar sobre les ciberamenaces, el phishing o les tècniques d’enginyeria social.
  • Realitzar actualitzacions de programari.
  • Configurar de manera segura tots els dispositius.
  • Segmentar la xarxa.

Calendari
El passat 17 de gener de 2023 es va iniciar el període de transposició que finalitzarà el proper 17 de octubre del 2024.

Amb data límit de 17 de gener de 2025, els Estats membres hauran d’haver comunicat el règim sancionador aplicable per incompliment i, per al 17 d’abril del 2025 hauran d’haver elaborat una llista dentitats essencials i importants.