L’actualitat pel que fa a la protecció de dades no s’atura. D’una banda, l’Agència Espanyola de Protecció de Dades (o “AEPD”) ha tingut últimament molta feina en diversos fronts: multes a diverses organitzacions i institucions per una mala praxi amb la política de privacitat i redacció d’anàlisis tècniques en relació amb el Blockchain i el dret de supressió. D’altra banda, està la ciberseguretat i els retards a la transposició de la Directiva “NIS 2” a Espanya.
Ens centrarem en aquest últim: la normativa espanyola de ciberseguretat es retarda, malgrat que la Directiva ((UE) 2022/2555) està en vigor des del 16 de gener de 2023. Aquesta directiva, coneguda com “NIS 2”, representa un avanç en la política de ciberseguretat que hi ha actualment a la Unió Europea. I el seu objectiu no és un altre que el d’enfortir el marc comunitari de ciberseguretat.
Les Directives europees han de transposar-se al dret nacional i fa gairebé un mes (exactament el 17 d’octubre) va acabar el límit perquè Espanya transposés en la seva legislació nacional la “NIS 2”. Així doncs, les empreses espanyoles encara no tenen un marc legislatiu nacional que permeti adaptar-se de forma més concreta.
Què representa aquesta nova directiva?
El canvi més important que vol introduir la nova normativa és que vol homogeneïtzar les obligacions en matèria de ciberseguretat, perquè no abasti només a grans empreses, sinó que també ho faci per a pimes i microempreses que ofereixin els seus serveis en la infraestructura digital, sempre que estiguin en els sectors i àmbit d’aplicació indicats en la Directiva. Però, a més d’això, presenta també altres novetats a destacar:
- Entitats subjectes: Les entitats es classificaran en dues categories: essencials i importants. Aquesta separació es farà sobre la base de la seva criticitat i de l’impacte que podrien tenir en la seguretat nacional i comunitària. Les entitats subjectes a “NIS 2”, a més, han d’informar immediatament les autoritats pertinents sobre qualsevol incident amb un “impacte significatiu”. En el cas que un dels serveis afectats sigui essencial, s’haurà de comunicar als usuaris.
- Més sectors involucrats: La normativa diferència entre dues categories de sectors: els sectors d’alta criticitat (Annex I de la Directiva) i altres sectors crítics (Annex II).
Noves mesures i noves sancions
La normativa estableix un conjunt de mesures tècniques, operatives i organitzatives que han d’implementar-se per a una millor gestió dels riscos de ciberseguretat. Entre aquestes mesures s’inclouen:
- Polítiques de seguretat.
- Anàlisi de riscos.
- Gestió d’incidents.
- Polítiques d’avaluació periòdica.
- Pràctiques d’“higiene cibernètica”.
- Notificació d’incidents.
La Directiva “NIS 2” també introdueix un règim de sancions més sever amb l’objectiu de garantir el compliment normatiu. Les entitats essencials poden enfrontar-se a multes de fins a 10 milions d’euros o el 2% del seu volum de negocis anual. Per a les entitats importants, per la seva banda, les sancions poden arribar als 7 milions d’euros o a l’1,4% del volum de negocis anual.
Conclusió
“NIS 2” suposa un canvi significatiu en la ciberseguretat i la resiliència de les entitats enfront de les amenaces cibernètiques. La normativa imposa requisits més estrictes i fomenta un enfocament proactiu en la prevenció d’incidents. Les organitzacions i entitats que aconsegueixin adaptar-se a aquest marc protegiran millor els seus actius i dades, a més de contribuir a enfortir l’ecosistema digital europeu en conjunt.