- Detalls
Directiva NIS2
La Directiva 2022/2555 del Parlament Europeu i del Consell, coneguda com NIS2, és la legislació en matèria de ciberseguretat adoptada per a tota la Unió Europea. Proporciona mesures legals per a impulsar el nivell general de ciberseguretat a la UE i la resiliència de les infraestructures crítiques i dels serveis digitals a Europa. Estableix obligacions de ciberseguretat, de supervisió i execució per als Estats membres, mesures per a la gestió de riscos i obligacions de notificació per a les entitats en el seu àmbit d'aplicació (Annexos I i II) i relatives a l'intercanvi d'informació sobre ciberseguretat.
La directiva va entrar en vigor al gener de 2023 i hauria d'haver estat traslladada abans del 17 d'octubre de 2024.
Servei de consultes
El Centre Criptològic Nacional ha habilitat un servei per a ajudar les entitats a complir amb les mesures tècniques, operatives i d'organització de la NIS2. Poden enviar els seus dubtes a través del correu:
Preguntes freqüents
La Directiva (UE) 2022/2555, de 14 de desembre de 2022 (Directiva NIS2), que actualitzarà i derogarà la Directiva (UE) 2016/1148 del 6 de juliol de 2016, coneguda com a Directiva NIS1, és una norma jurídica europea que té com a objecte establir un marc normatiu destinat a garantir un elevat nivell de seguretat en les xarxes i sistemes d'informació en tota la Unió Europea, amb l'objectiu d'aconseguir un elevat nivell comú de ciberseguretat.
Per a això, s'estableixen obligacions perquè les adoptin aquelles entitats que s'inclouen en el seu àmbit d'aplicació. Aquestes obligacions es concreten en obligacions de notificació i intercanvi d'informació sobre incidents i mesures de seguretat tècniques, operatives i organitzatives adequades, establertes per a gestionar els riscos de ciberseguretat dels sistemes d'informació i les xarxes que utilitzen aquestes entitats en les seves operacions o en la prestació dels seus serveis.
Per a una millor adequació dels requisits de ciberseguretat exigibles a les entitats en el seu àmbit, la Directiva NIS2 distingeix entre entitats essencials i entitats importants. En qualsevol cas, les 10 agrupacions de mesures de seguretat que determina el seu article 21 s'aplicaran a tots dos tipus d'entitats, encara que amb major nivell d'exigència a les entitats essencials.
La Directiva NIS2 va ser publicada en el Diari Oficial de la UE (DOUE) el 27 de desembre de 2022, després de la seva aprovació formal, havent entrat en vigor vint dies després. No obstant això, com ocorre amb qualsevol Directiva Europea, cada Estat membre realitzarà la transposició de la Directiva NIS2 al seu ordenament jurídic nacional, de manera anàloga a com ja es va fer a Espanya amb la seva predecessora, la directiva NIS1, mitjançant la promulgació del Reial decret llei 12/2018, de 7 de setembre, de seguretat de les xarxes i sistemes d'informació.
Segons l'article 41 de la Directiva NIS2, haurà de transposar-se en tots els Estats membres, entre ells Espanya, a tot tardar el 17 d'octubre de 2024, sent aplicable el 18 d'octubre d'aquest mateix any.
Directiva NIS2
1) La Directiva NIS2 afecta a les entitats que pertanyin a sectors d'alta criticitat (detallades en l'Annex I de la Directiva) i a altres sectors crítics (Annex II), tant del sector públic com del sector privat que es considerin mitjanes o grans empreses (segons la Recomanació 2003/361/CE una mitjana empresa ocupa entre 50 i 250 empleats, té un volum de negoci que no excedeix els 50 milions EUR i un balanç general anual que no excedeix els 43 milions EUR).
2) Amb independència de la seva grandària, la Directiva NIS2 també afecta a:
- Entitats pertanyents a sectors d'alta criticitat o a altres sectors crítics, quan es tracti de:
- Proveïdors de xarxes públiques o de serveis de comunicacions electròniques disponibles per al públic.
- Prestadors de serveis de confiança, registres de noms de domini de primer nivell i proveïdors de serveis de DNS.
- Quan l'entitat sigui l'únic proveïdor en un Estat membre d'un servei essencial per al manteniment d'activitats socials o econòmiques crítiques.
- Quan una pertorbació del servei prestat per l'entitat pogués tenir repercussions significatives sobre la seguretat pública, l'ordre públic o la salut pública.
- Quan una pertorbació del servei prestat per l'entitat pogués induir riscos sistèmics significatius, en particular per als sectors en els quals tal pertorbació podria tenir repercussions de caràcter transfronterer.
- Quan l'entitat sigui crítica a la llum de la seva importància específica a nivell nacional o regional per al sector o tipus de servei en concret o per a altres sectors interdependents en l'Estat membre.
- Entitats del sector públic central o regional: De conformitat amb el Dret nacional, entitats de l'Administració pública central o regional, que prestin serveis la pertorbació dels quals podria tenir un impacte significatiu en activitats socials o econòmiques crítiques.
- A criteri de cada Estat membre: Addicionalment, els Estats membres podran incorporar:
- Als centres d'ensenyament, en particular quan duguin a terme activitats crítiques de recerca.
- L'Administració pública local.
- Entitats crítiques segons una altra Directiva europea: Entitats identificades com a crítiques segons es defineixen en l'article 2.1 de la Directiva (UE) 2022/2557 del Parlament Europeu i del Consell, de 14 de desembre de 2022, relativa a la resiliència de les entitats crítiques.
Les Entitats de l'Administració pública estan assenyalades en l'Annex I de la Directiva com a sectors d'alta criticitat, a exclusió del poder judicial, els parlaments i els bancs centrals. En aquest annex es fa referència exclusivament a l'Administració pública central i l'autonòmica (regional). No obstant això, s'assenyala que els Estats membres podran disposar que la present Directiva s'apliqui a les entitats de l'Administració pública a nivell local i als centres d'ensenyament, en particular quan duguin a terme activitats crítiques de recerca.
Així mateix, la present Directiva no s'aplicarà a les entitats de l'Administració pública que duguin a terme les seves activitats en els àmbits de la seguretat nacional, la seguretat pública, la defensa o la garantia del compliment de la llei, incloses la prevenció, la recerca, la detecció i l'enjudiciament d'infraccions penals.
La Directiva NIS2 en el seu article 3 distingeix entre entitats essencials i entitats importants, en funció del grau de criticitat del sector al qual pertanyen, dels serveis que prestin i de la seva grandària.
La directiva considera sectors d'alta criticitat (Annex I) i altres sectors crítics (Annex II). Així mateix, considera gran empresa a aquella que superi els límits màxims respecte a una mitjana empresa (segons la Recomanació 2003/361/CE una mitjana empresa ocupa entre 50 i 250 empleats, té un volum de negocis que no excedeix els 50 milions EUR i un balanç general anual que no excedeix els 43 milions EUR).
1) La Directiva NIS2 considera entitats essencials a:
- L'Administració pública central definida per cada Estat membre de conformitat amb el dret nacional.
- Grans empreses enquadrades en qualsevol dels sectors d'alta criticitat.
- Els prestadors qualificats de serveis de confiança, els registres de noms de domini de primer nivell i els proveïdors de serveis de DNS.
- Entitats identificades com a crítiques conformement a la Directiva (UE) 2022/2557 del Parlament Europeu i del Consell, de 14 de desembre de 2022, relativa a la resiliència de les entitats crítiques, actualment en procés de transposició.
- Les entitats identificades per cada Estat membre abans del 16 de gener de 2023 com a operadors de serveis essencials de conformitat amb la Directiva (UE) 2016/1148 (NIS1) o segons el seu Dret nacional, si aquest Estat així ho considera.
2) La Directiva NIS2 considera entitats importants:
- Qualsevol entitat pertanyent a sectors d'alta criticitat o a altres sectors crítics (segons s'estableix en els annexos I i II de la Directiva NIS2) i que no puguin ser considerades entitats essencials.
3) En el procés de transposició de la Directiva NIS2, cada Estat membre pot qualificar addicionalment a altres entitats com a essencials o importants, segons el seu propi criteri, quan amb independència de la seva grandària:
- L'entitat sigui l'únic proveïdor en un Estat membre d'un servei essencial per al manteniment d'activitats socials o econòmiques crítiques.
- Una pertorbació del servei prestat per l'entitat pogués tenir repercussions significatives sobre la seguretat pública, l'ordre públic o la salut pública.
- Una pertorbació del servei prestat per l'entitat pogués induir riscos sistèmics significatius, en particular per als sectors en els quals tal pertorbació podria tenir repercussions de caràcter transfronterer.
- L'entitat sigui crítica a la llum de la seva importància específica a nivell nacional o regional per al sector o tipus de servei en concret o per a altres sectors interdependents en l'Estat membre.
Per a això, els Estats membres elaboraran una llista d'entitats essencials i importants abans del 17/04/2025, que s'actualitzarà periòdicament almenys cada 2 anys.
Directiva NIS2
Com s'assenyala en l'article 21 de la Directiva NIS2, les entitats essencials i importants hauran de gestionar els riscos respecte a la seguretat de xarxes i sistemes d'informació que utilitzen en les seves operacions o per a la prestació dels seus serveis, alhora que minimitzar les repercussions dels potencials incidents de seguretat que puguin produir-se.
Les mesures hauran de ser proporcionals al risc tenint en consideració el grau d'exposició de l'entitat als riscos, la grandària de l'entitat i la probabilitat que es produeixin incidents i la seva gravetat, incloses les repercussions socials i econòmiques.
El precitat article 21 de la Directiva NIS2 estableix de manera generalista deu (10) agrupacions de requisits o mesures de seguretat mínimes que cada entitat haurà d'implementar.
A Espanya disposem del Reial Decret 311/2022, de 3 de maig, pel qual es regula l'Esquema Nacional de Seguretat (ENS), que inclou tots els requisits de la Directiva NIS2. El ENS és d'obligat compliment a Espanya per a tot el sector públic (estatal, autonòmic i local), per als proveïdors que li aporten solucions o li presten serveis i, de manera voluntària, per a qualsevol organització que desitgi millorar la seva ciberseguretat. Addicionalment, és una norma jurídica certificable, la qual cosa permet evidenciar el compliment.
Així mateix, la Directiva NIS2 obliga les entitats essencials i importants a notificar qualsevol incident significatiu al seu equip de resposta a incidents de seguretat informàtics (CSIRT) de referència.
L'article 33 sobre capacitat de resposta a incidents de seguretat del RD 311/2022 pel qual es regula el ENS, d'acord amb el que disposa l'article 11 del Reial decret llei 12/2018, de 7 de setembre, de seguretat de les xarxes i sistemes d'informació (Transposició de la Directiva NIS1), assenyala:
L'estructura denominada CCN-CERT del Centre Criptològic Nacional, adscrit al Centre Nacional d'Intel·ligència i dependent del Ministeri de Defensa, exercirà la coordinació nacional de la resposta tècnica dels equips de resposta a incidents de seguretat informàtica (CSIRT) del sector públic a Espanya, en matèria de seguretat de les xarxes i sistemes d'informació, exercint així mateix la funció d'enllaç per a garantir la cooperació transfronterera dels CSIRT de les Administracions públiques amb els CSIRT internacionals.
L'estructura denominada INCIBE-CERT adscrita a la S.M.E. Institut Nacional de Ciberseguretat d'Espanya M.P., S. A., dependent del Ministeri d'Assumptes Econòmics i Transformació Digital, actuarà com el centre de resposta a incidents de seguretat de referència per als ciutadans i entitats de dret privat a Espanya.
L'estructura denominada ESPDEF-CERT del Comandament Conjunt del Ciberespai (MCCE), adscrit al Ministeri de Defensa, actuarà com a capacitat de resposta d'incidents de seguretat de referència per a l'àmbit de la Defensa nacional, intervenint sempre que un operador sofreixi un incident que pel seu abast pogués tenir impacte en el funcionament del Ministeri de Defensa o en l'operativitat de les Forces Armades.
Finalment, l'Oficina de Coordinació de Seguretat (OCC) del Ministeri de l'Interior participarà així mateix en la coordinació de la resposta a incidents dels operadors crítics, segons els determina la Llei 8/2011, de 28 d'abril, per la qual s'estableixen mesures per a la protecció de les infraestructures crítiques (LPIC) i el Reial decret 704/2011, de 20 de maig, pel qual s'aprova el Reglament de protecció d'aquestes infraestructures.
Tot això sense menyscapte del que pugui disposar en un futur la transposició de la Directiva NIS2 quan entri en vigor després de la seva publicació en el BOE.
Es presenta una llista no exhaustiva derivada de l'Annex I de la Directiva NIS2:
- Energia
- Electricitat (Empreses elèctriques, gestors de la xarxa de distribució, gestors de la xarxa de transport, productors, operadors designats per al mercat elèctric, serveis d'agregació o emmagatzematge d'energia, operadors encarregats de la gestió i explotació d'un punt de recàrrega)
- Operadors de sistemes urbans de calefacció i refrigeració.
- Cru (Operadors d'oleoductes, operadors de producció, instal·lacions de refinat i tractament, emmagatzematge i transport, entitats centrals d'emmagatzematge).
- Gas (Empreses subministradores de gas, gestors de la xarxa de distribució, gestors de la xarxa de transport, gestors d'emmagatzematge, gestors de la xarxa de GNL, companyies de gas natural, operadors d'instal·lacions de refinat i tractament de gas natural).
- Hidrogen (Operadors de producció, emmagatzematge i transport).
- Transport
- Transport aeri (Companyies aèries, entitats gestores d'aeroports, aeroports, entitats que exploten instal·lacions annexes dins dels recintes dels aeroports, operadors de control de la gestió del trànsit que presten serveis de control del trànsit aeri).
- Transport per ferrocarril (Administradors d'infraestructures, empreses ferroviàries).
- Transport marítim i fluvial (Empreses de transport marítim, fluvial i de cabotatge, tant de passatgers com de mercaderies, organismes gestors dels ports incloses les seves instal·lacions portuàries i entitats que operen obres i equips que es troben en els ports, operadors de serveis de trànsit de vaixells (STB)).
- Transport per carretera (Autoritats diverses responsables del control de la gestió del trànsit, excloses les entitats públiques per a les quals la gestió del trànsit o l'explotació de sistemes de transport intel·ligents sigui una part no essencial de la seva activitat general, operadors de sistemes de transport intel·ligents).
- Banca
- Entitats de crèdit.
- Infraestructures dels mercats financers
- Gestors de centres de negociació.
- Entitats de contrapartida central (ECC).
- Sector sanitari
- Prestadors d'assistència sanitària.
- Laboratoris de referència de la UE.
- Medicaments (Entitats que realitzen activitats de recerca i desenvolupament de medicaments, entitats que fabriquen productes farmacèutics de base i especialitats farmacèutiques, entitats que fabriquen productes sanitaris que es consideren essencials en situacions d'emergència de salut pública).
- Aigua potable
- Subministradors i distribuïdors d'aigües destinades al consum humà (exclosos els distribuïdors per als quals la distribució d'aigües destinades al consum humà sigui una part no essencial de la seva activitat general de distribució d'altres béns i productes bàsics).
- Aigües residuals
- Empreses dedicades a la recollida, l'eliminació o el tractament d'aigües residuals urbanes, domèstiques o industrials (excloses les empreses per a les quals la recollida, l'eliminació o el tractament d'aigües residuals urbanes, domèstiques o industrials sigui una part no essencial de la seva activitat general).
- Infraestructura digital
- Proveïdors (de punts d'intercanvi d'internet, de serveis de DNS exclosos els operadors de servidors arrel, de noms de domini de primer nivell, serveis de computació en el Núvol, serveis de centre de dades, de xarxes de distribució de continguts, de serveis de confiança, de xarxes públiques de comunicacions electròniques, de serveis de comunicacions electròniques disponibles per al públic).
- Gestió de serveis TIC B2B (d'empresa a empresa)
- Proveïdors de serveis gestionats.
- Proveïdors de serveis de seguretat gestionats.
- Entitats de l'Administració pública, a exclusió del poder judicial, els parlaments i els bancs centrals
- Entitats de l'Administració pública central (tal com es defineixen en l'Estat membre conformement a les disposicions del Dret nacional).
- Entitats de l'Administració pública a escala regional (segons la seva definició en l'Estat membre conformement a les disposicions del Dret nacional).
- Espai
- Operadors d'infraestructures terrestres (la propietat de les quals, gestió i explotació descansa en els Estats membres o en entitats privades, que donen suport a la prestació de serveis espacials, excepte els proveïdors de xarxes públiques de comunicacions electròniques).
Es presenta una llista no exhaustiva derivada de l'Annex II de la Directiva NIS2:
- Serveis postals
- Proveïdors de serveis postals (inclosos els proveïdors de serveis de missatgeria).
- Gestió de residus
- Empreses que realitzen la gestió de residus (excepte aquelles per a les quals la gestió de residus no és la seva principal activitat econòmica).
- Fabricació, producció i distribució de substàncies i mescles químiques
- Empreses que realitzen la fabricació de substàncies i la distribució de substàncies o mescles (incloses empreses que realitzen la producció d'articles a partir de substàncies i mescles.
- Producció, transformació i distribució d'aliments
- Empreses alimentàries (que es dediquin a la distribució a l'engròs i a la producció i transformació industrials).
- Fabricació
- Fabricació de productes sanitaris i productes sanitaris per a diagnòstic in vitro (Entitats que fabriquen els productes sanitaris i entitats que fabriquen els productes sanitaris per a diagnòstic in vitro, amb algunes excepcions).
- Fabricació de productes informàtics, electrònics i òptics.
- Fabricació de material elèctric.
- Fabricació de maquinària i equips no compresos en altres parts.
- Fabricació de vehicles de motor, remolcs i semiremolcs.
- Fabricació d'un altre material de transport.
- Proveïdors de serveis digitals
- Proveïdors de mercats en línia.
- Proveïdors de motors de cerca en línia.
- Proveïdors de plataformes de serveis de xarxes socials.
- Recerca
- Organismes de recerca.
El transport públic no està explícitament cobert per la NIS2. No obstant això, en el seu article 2 (apartat 3), s'assenyala que la Directiva s'aplica a les entitats que s'identifiquin com a entitats crítiques conforme a la Directiva 2022/2557 (Directiva CER). Aquesta última directiva cobreix sota el sector de “Transport” (2), el subsector de “Transport públic” (e) i més específicament “els operadors de servei públic tal com es defineix en l'article 2, punt (d) del Reglament (CE) No 1370/2007 del Parlament Europeu i del Consell (13)”.
Per tant, totes les entitats del sector de transport públic, identificades sota la Directiva CER, cauran automàticament sota l'abast de la NIS2.
Dins dels sectors crítics que entren dins de l'àmbit d'aplicació de la NIS2, es troba la “producció, transformació i distribució d'aliments” realitzada per “empreses alimentàries” definides en el Reglament (EC) 178/2002 (“qualsevol empresa, amb o sense fins de lucre, pública o privada, que dugui a terme qualsevol de les activitats relacionades amb qualsevol etapa de la producció, transformació i distribució d'aliments”).
No obstant això, la pròpia Directiva NIS2 limita aquest sector a aquelles empreses que es “dediquin a la distribució a l'engròs i a la producció i transformació industrials”.
El propòsit del colegislador és limitar la definició àmplia d'empreses alimentàries eliminant de la seva aplicació la venda al detall i la producció i transformació d'aliments a petita escala.
Sí, l'article 6 (39) de la NIS2 defineix als proveïdors de serveis gestionats com una entitat que presta serveis relacionats amb la instal·lació, la gestió, l'explotació o el manteniment de productes, xarxes, infraestructures o aplicacions de TIC o qualssevol altres sistemes de xarxes i d'informació [...]. La definició es refereix explícitament a activitats dutes a terme en les instal·lacions del client o a distància.
Cadascuna d'aquestes tasques (instal·lació, gestió, explotació i manteniment) no són excloents les unes de les altres i una entitat pot escometre una o diverses d'elles.
El proveïdor de serveis de seguretat gestionats, com a part de les mesures de gestió de riscos de ciberseguretat, pot prestar serveis de gestió d'incidents en cas d'emergència.
Tal com recull l'article 6 (40) de la NIS2, el proveïdor de serveis de seguretat gestionats és aquell que “duu a terme activitats relatives a la gestió de riscos de ciberseguretat o presta assistència per a això”. Exemples d'aquests serveis poden trobar-se en l'article 21 (2) que aglutina diverses mesures de gestió de riscos de ciberseguretat com l'anàlisi de riscos, la gestió d'incidents, la seguretat de la cadena de subministrament o els plans de continuïtat.
L'article 6, punt (20)(b) de la Directiva NIS2 defineix als proveïdors de serveis de DNS com “una entitat que presta: (a) serveis a disposició pública de resolució recursiva de noms de domini per a usuaris finals d'internet, o (b) serveis de resolució autoritativa de noms de domini per a ús per tercers, amb excepció dels servidors arrel”.
En aquest últim cas, es considera que es presten els serveis de resolució autoritativa de nom de domini per a ús per tercers quan aquests serveis es proveeixen a persones legals o naturals distintes a l'entitat en si mateixa. Aquest és el cas quan els servidors de noms autoritatius d'un domini no són operats pel registrant d'aquest domini, sinó que aquest servei és proporcionat per una altra entitat.
Els proveïdors de serveis d'allotjament web o hosting no estan recollits com aquest tipus ni en l'annex I (en infraestructura digital s'esmenta proveïdors de serveis DNS, registres de noms de domini, serveis de computació en núvol, serveis de centre de dades, xarxes de distribució de continguts, serveis de confiança, xarxes públiques de comunicacions electròniques, comunicacions electròniques disponibles per al públic) ni en l'II (proveïdors de serveis digitals) i per tant no estarien dins de l'abast de la Directiva NIS2. No obstant això, en molts casos, existiran entitats que estaran dins de l'abast de la NIS2 en prestar un altre tipus de serveis (com a servei de hosting en el núvol, serveis de Centre de Dades o serveis de resolució de nom de domini autoritatiu) i al seu torn proveeixen també serveis d'allotjament web.
L'article 20(1) i (2) de la Directiva NIS2 es refereix específicament a les obligacions dels òrgans de direcció i els seus membres. El considerant 137 explica que la Directiva “ha d'aspirar a garantir un nivell elevat de responsabilitat per les mesures per a la gestió de riscos de ciberseguretat i les obligacions de notificació a nivell de les entitats essencials i importants”. El considerant afegeix per aquesta raó, que “els òrgans de direcció de les entitats essencials i importants han d'aprovar les mesures de gestió de riscos de ciberseguretat i supervisar la seva aplicació”.
Per tant, si les entitats deleguessin les responsabilitats referides en l'article 20 a altres membres del seu personal, l'objectiu de l'article no es compliria adequadament. Per tant, aquesta delegació no hauria de permetre's.





