Dubtes i aclariments sobre com implantar NIS2 a les nostres empreses

Recentment vam estar parlant de la Directiva NIS2 en un altre article de Flu Project , en aquest cas, dedicat a un altre tema de vessant molt similar, el llançament del 2n paquet RTS llançat per les AES per al compliment de DORA. No obstant això, al post d'avui volem centrar-nos en NIS2 i en alguns dels diferents dubtes que han anat sorgint en els darrers mesos, així que guardeu-vos aquest post a manera de FAQ, que possiblement us resulti d'utilitat a les vostres respectives organitzacions.

A manera de recordatori, quan parlem de NIS2 ens referim a la Directiva (UE) 2022/2555: NIS 2 (v2 de Network and Information Security), adreçada a elevar la ciberseguretat a la UE utilitzant com a palanca sectors essencials. No té res a veure amb el NIST (americà), la semblança del qual en 3 lletres de 4 és mera coincidència ;). Aquesta nova regulació neix per actualitzar i derogar la Directiva (UE) 2016/1148 del 6 de juliol de 2016 (antiga Directiva NIS1).

NIS2 distingeix dues grans agrupacions a les quals aplicaran determinats requeriments en funció de la seva criticitat. Aquests requeriments seran aplicables per a les empreses d'aquests sectors, sempre que tinguin més de 50 treballadors (és a dir, que almenys siguin mitjana empresa):

• Sectors d'Alta Criticitat:
• Energia
• Transport
• Banc
• Infraestructures Mercats financers
• Sector Sanitari
• Aigua potable
• Aigües Residuals
• Infraestructura Digital
• Serveis TIC (B2B)
• Administració pública
• Espai

• Altres Sectors Crítics:
• Serveis Postals i de missatgeria
• Gestió de Residus
• Fabricació, producció i distribució de substàncies i barreges químiques
• Producció, transformació i distribució d'aliments
• Fabricació: Entre d'altres de productes sanitaris.
• Proveïdors de serveis digitals
• Investigació

No obstant això i per la redacció de l'article 2, punt 1 de la Directiva, el qual ha generat una mica de controvèrsia perquè la redacció dóna lloc a confusió, aquests requeriments no només aplicaran a aquests 18 sectors a les organitzacions mitjanes i grans, sinó que també aplicaran a qualsevol organització d'aquests sectors, independentment de la seva mida, en determinades circumstàncies.

Aquesta hipòtesi queda corroborada després de la publicació del Centre Criptològic Nacional, que aclareix en aquesta pàgina que, amb independència de la seva mida, les mesures aplicaran a les dues agrupacions (Sectors d'Alta Criticitat i Crítics) en casos vinculats a la seguretat nacional i al funcionament de les infraestructures crítiques, en centres que realitzin investigació (ex. centres d'ensenyament), en administracions regionals i locals (ex. ajuntaments), cosa que per altra banda és una cosa òbvia, atès que en molts casos com a pobles i petites ciutats no arribaran als 50 empleats, però els seus serveis són més que essencials per a la ciutadania i l'estat, etc. A la següent captura de la web del CCN podreu consultar aquests detalls: 

En aquesta mateixa publicació podreu descarregar una infografia molt interessant que vincula l'Esquema Nacional de Seguretat (ENS) amb NIS2, i en què aclareixen que a ulls de l'administració, una companyia que disposi de l'ENS certificat al Nivell Alt, serà considerada com "conforme" davant de la Directiva NIS2, per la qual cosa si ja compteu amb aquesta certificació, ja tindreu fets els deures:

Així mateix, aclareix que aquelles companyies que tinguin certificacions ENS Media i Bàsica hauran de posar èmfasi en els temes de continuïtat i gestió de proveïdors, tal com defineix la pròpia Directiva.

Per començar a entendre de què va NIS2 us recomano 2 de les publicacions oficials que tenim en castellà, la pròpia traducció oficial de la directiva :

I la Guia CCN-STIC 892 que ha estat publicada fa tot just uns dies: