NIS2 gure enpresetan nola ezartzeko zalantzak eta argipenak

Duela gutxi, NIS2 Zuzentarauari buruz hitz egiten ari ginen Gripe Proiektuaren beste artikulu batean, kasu honetan, oso antzeko alderdia duen beste gai bati eskainia, AESek DORA betetzeko abian jarritako 2. RTS paketea abian jartzea. Hala ere, gaurko sarreran NIS2n eta azken hilabeteotan sortu diren zenbait zalantza ezberdinetan zentratu nahi dugu, beraz, mezu hau FAQ gisa mantenduko dut, zure erakundeetan erabilgarria izan daitekeena.

Oroigarri gisa, NIS2ri buruz hitz egiten dugunean 2022/2555 Zuzentaraua (EB) aipatzen ari gara: NIS 2 (V2 of Network and Information Security), EBn zibersegurtasuna areagotzea helburu duena, funtsezko sektoreak palanka gisa erabiliz. Ez du zerikusirik NIST (amerikar)-rekin, zeinaren antzekotasuna 4tik 3 hizkietan kasualitate hutsa den ;). Araudi berri hau 2016ko uztailaren 6ko 2016/1148 Zuzentaraua (EB) eguneratu eta indargabetzeko sortu zen (lehen NIS1 Zuzentaraua).

NIS2-k bi talde handi bereizten ditu, zeinei baldintza batzuk aplikatuko zaizkien kritikotasunaren arabera. Baldintza hauek sektore horietako enpresei aplikatuko zaizkie, betiere 50 langile baino gehiago badituzte (hau da, gutxienez enpresa ertaina bada):

• Kritikotasun handiko sektoreak:
• Energia
• Garraioa
• Bankua
• Azpiegiturak Finantza merkatuak
• Osasun arloa
• Edateko ura
• Hondakinak
• Azpiegitura digitala
• IKT zerbitzuak (B2B)
• Administrazio publikoa
• Espazioa

• Beste sektore kritikoak:
• Posta eta mezularitza zerbitzuak
• Hondakinen Kudeaketa
• Substantzia eta nahaste kimikoen fabrikazioa, ekoizpena eta banaketa
• Elikagaien ekoizpena, eraldaketa eta banaketa
• Fabrikazioa: Besteak beste, osasun produktuak.
• Zerbitzu digitalen hornitzaileak
• Ikerketa

Dena den, eta Zuzentarauaren 2. artikuluaren 1. puntuaren idazkera dela eta, nolabaiteko polemika sortu duena, idazkerak nahasmena sortzen duelako, eskakizun horiek ez dira soilik erakunde ertain eta handietako 18 sektore horiei aplikatuko, baizik eta sektore horietako edozein erakunderi aplikatzea, tamaina edozein dela ere, zenbait egoeratan.

Hipotesi hori berretsi egiten da Zentro Kriptologiko Nazionalaren argitalpenaren ondoren, eta orrialde honetan argitzen baitu , haien tamaina edozein dela ere, neurriak bi taldeei (Kritikotasun Handia eta Sektore Kritikoak) aplikatuko zaizkiela segurtasun nazionalarekin eta kritikoen funtzionamenduarekin lotutako kasuetan. azpiegiturak, ikerketak egiten dituzten zentroetan (irakaskuntza-zentroetan, adibidez), eskualdeko eta tokiko administrazioetan (udaletxeetan, adibidez), eta hori, bestalde, zerbait agerikoa da, izan ere, kasu askotan, herri eta hiri txikietan adibidez, egingo dute. ez dira 50 langilera iristen baina haien zerbitzuak ezinbestekoak dira herritarrentzat eta estatuarentzat, etab. CCNren webguneko hurrengo pantaila-argazkian xehetasun hauek kontsulta ditzakezu: 

Argitalpen honetan bertan Segurtasun Eskema Nazionala (ENS) NIS2rekin lotzen duen infografiko oso interesgarri bat deskargatu dezakezu , eta bertan argitzen duten administrazioaren aurrean, ENS-a bere Goi-mailako ziurtagiria duen enpresa bat izango dela. NIS2 Zuzentarauarekin "betetzen" dela jotzen da, beraz, ziurtagiri hau dagoeneko baduzu, etxeko lanak eginda izango dituzu:

Era berean, argitzen du ENS Medium eta Basic ziurtagiriak dituzten enpresek jarraikortasunaren eta hornitzaileen kudeaketaren gaiak azpimarratu behar dituztela, Zuzentarauak berak zehaztutakoaren arabera.

NIS2 zer den ulertzen hasteko, gaztelaniaz ditugun argitalpen ofizialetatik 2 gomendatzen ditut, zuzentarauaren itzulpen ofiziala bera :

Eta duela egun gutxi argitaratu zen CCN-STIC 892 Gida :