La Directiva NIS2 ja té data daplicació

El 5 de gener de 2023 va entrar en vigor a Espanya la directiva NIS 2. La nova directiva 2022/2555 vaig actualitzar l’anterior normativa sobre seguretat de les xarxes i sistemes d’informació de la Unió Europea recollida a la Directiva NIS 1 promulgada el 2016.

NIS 2 estableix un marc comú dins de l’EU. Aquest marc recull mesures de ciberseguretat per als sectors estratègics a la Unió, ampliant aquests sectors respecte a l’anterior Directiva NIS.

Aquests sectors estratègics abasten tant entitats públiques com privades i tenen la consideració de “estratègics” per la seva rellevància per a l’economia i la ciutadania dins de la Unió Europea. En total s’han considerat 18 sectors estratègics d’activitat, que abasten diversos sectors, des de la infraestructura de serveis financers, la gestió de serveis TIC, la investigació, l’alimentació, l’educació, la sanitat, el sector energètic, el comerç, el transport o la defensa, entre d’altres.

Novetats de la nova directiva

La directiva NIS 2 diferencia entre “entitats essencials” i “entitats importants” , atenent l’alta criticitat a què pertanyen els sectors d’activitat. Dins d’aquesta classificació ve a considerar els prestadors qualificats de serveis de confiança com Vintegris , dins dels proveïdors de serveis crítics i, en concret, la seva activitat s’engloba en les prestades per sectors d’ “alta criticitat”.

Aquesta Directiva pretén definir un marc comú per als Estats membres en matèria de ciberseguretat i com abordar els riscos existents en aquest àmbit. Per això, abans del 17 d’octubre de 2024 com a data límit, els Estats membres hauran d’adoptar i aprovar les mesures necessàries per donar compliment als requisits establerts a NIS 2.

NIS 2 estableix els requisits que s’han de considerar per a la gestió dels riscos en ciberseguretat, establint un mínim de mesures tècniques, operatives i d’organització que s’han d’implantar per prevenir, detectar, minimitzar els incidents de seguretat que afectin els serveis prestats i garantir la resiliència dels sistemes que suporten la prestació d’aquests serveis crítics.

Aquestes mesures es basen en l‟existència d‟una política de seguretat i la realització periòdica d‟anàlisi de riscos, juntament amb l‟adopció de les mitjanes de seguretat necessàries per al tractament dels riscos detectats.

Entre les mesures de seguretat trobem: la gestió d’incidents de seguretat, garantir la continuïtat de les activitats, la protecció de la cadena de subministrament, l’ús de criptografia, la seguretat en els recursos humans, la formació i conscienciació en ciberseguretat, l’establiment de mesures com l’ús de MFA (Autenticació Multifactor) per garantir l’accés autoritzat als recursos, la seguretat física de les instal·lacions, el desenvolupament Estat de la Unió, basant-se en els estàndards de seguretat existents.

D’altra banda, la Directiva estableix l’obligació de notificació d’incidents de seguretat, atenent la seva classificació, la comunicació per part de les entitats afectades al CSIRT (Equips de Ciberseguretat i Gestió d’Incidents espanyols) de referència a cada Estat membre ia la col·laboració entre els diferents CSIRT per afavorir la gestió del coneixement en ciberseguretat i l’adopció de mesures.

Víntegris, com a prestador qualificat de serveis de confiança, haurà de complir les mesures de seguretat que es defineixin per a les organitzacions considerades serveis crítics. Els nostres objectius i Política de seguretat està alineada amb estàndards de seguretat reconeguts internacionalment com la ISO 27001:2022 i l’ Esquema Nacional de Seguretat , normes en què el Sistema d’Informació de Víntegris que suporta els serveis oferts com a Prestador de Serveis de Confiança està certificat, cosa que ens permetrà afrontar des d’una posició òptima el compliment de les NIS 2.

Des de Vintegris, seguim treballant per garantir la seguretat i privadesa en els serveis prestats als nostres clients, complint els estàndards de seguretat vigents.