the art of being legal


Advocat ciberseguretat: Directiva NIS 2 i obligacions a la UE

ciberseguridad

ENISA, l'Agència de la Unió Europea per a la Ciberseguretat, va observar un augment significatiu en la quantitat i la varietat de ciberatacs i les seves conseqüències en els darrers mesos del 2022 i els primers del 2023, i entre el 2021 i el 2022 el 82 % de les violacions de dades registrades van tenir un component humà (com ara l'aprofitament d'un error humà per obtenir accés a informació o serveis).

Article escrit per

Abigail Sked

Assessora legal mercantil

Abigail Sked és assessora legal a Conesa Legal, especialitzada en dret mercantil i protecció de dades. Acompanya empreses en la redacció i negociació de contractes i en el compliment normatiu.

Veure perfil professional

Avui dia, no es tracta de si s'intentarà piratejar el sistema de la vostra empresa o robar dades confidencials, sinó de quan s'ho intentarà, i és per això que la Unió Europea va adoptar la Directiva NIS 2. 

Contingut

 

DIRECTIVA NIS 2 I OBLIGACIONS A LA UE

Abigail Sked, Especialista en protecció de dades (Subtítols disponibles en castellà i anglès)

Què és la Directiva NIS 2?

El 2022, la Unió Europea va adoptar una directiva que tenia per objecte assolir un nivell comú elevat de ciberseguretat a tota la Unió amb la finalitat de millorar el funcionament del mercat interior. En realitat, aquesta Directiva, Directiva (UE) 2022/2555 del Parlament Europeu i del Consell, de 14 de desembre de 2022, relativa a les mesures destinades a garantir un nivell comú elevat de ciberseguretat a tota la Unió (Directiva NIS 2), pot considerar-se una actualització d'una directiva similar del 2016 (Directiva (UE) 2016/1148), que va ser transposada a la legislació espanyola pel Reial Decret-Llei 12/2018. No obstant això, com tots sabem, els canvis tecnològics es succeeixen amb rapidesa i el legislador ha d'intentar mantenir-se al dia.

La Directiva NIS 2 no només estableix mesures i obligacions de gestió de riscos de ciberseguretat per a determinades entitats considerades de risc, sinó que també imposa als estats membres l'obligació d'actualitzar les seves lleis i estratègies nacionals, estableix autoritats competents i equips de resposta a incidents de seguretat informàtica i facilita l'intercanvi d'informació relacionada amb la ciberseguretat. No obstant això, en aquest article ens centrarem a respondre les principals preguntes que vostè, com a empresari, podria tenir sobre la NIS 2, directiva de ciberseguretat.

Advocats per reclamar danys en ciberseguretat

Tinc una empresa a Espanya. Ens apliquen les obligacions de la NIS 2?

En primer lloc, cal tenir en compte que el que aquesta llei pretén és garantir que els serveis essencials estiguin disponibles per al públic de manera ininterrompuda. Per tant, si és poc probable que la teva empresa pugui qualificar-se d'"essencial" o d'importància social, és poc probable que aquesta llei t'afecti. Si la teva empresa estava subjecta a la predecessora d'aquesta Directiva, seguiries incorrint en obligacions en virtut de la mateixa, ja que ha ampliat l'àmbit de les empreses afectades. No obstant això, les bones pràctiques de ciberseguretat són essencials per a totes les empreses, de manera que, encara que aquesta Directiva no t'afecti, el seu contingut pot resultar-te il·lustratiu.

Aquesta Directiva s'aplica a les entitats públiques o privades que pertanyin a alguna de les categories següents:

1) Empreses mitjanes o grans (més de 50 empleats i volum de negocis anual i/o balanç general anual superior a 10 milions d'euros) que prestin els seus serveis o duguin a terme les seves activitats a la Unió i l'activitat de les quals pertanyi a una d'aquestes categories:

  • Annex 1: Sectors d'alta criticitat
    • Energia
      • Electricitat
      • Sistemes urbans de calefacció i refrigeració
      • Petroli cru
      • Gas
      • Hidrogen
    • Transport
      • Transport aeri
      • Transport per ferrocarril
      • Transport marítim i fluvial
      • Transport per carretera
    • Banca
    • Infraestructures dels mercats financers
    • Sector sanitari
      • Proveïdors d'assistència sanitària
      • Farmàcia
      • Fabricació
      • Laboratoris
      • Recerca i desenvolupament
    • Aigua
      • Aigua potable
      • Aigües residuals
    • Espai
      • Infraestructures
      • Serveis
    • TIC
      • Infraestructura digital
      • Gestió de serveis de TIC (d'empresa a empresa)
    • Administració pública

 

  • Annex 2: Altres sectors crítics
    • Gestió de residus
    • Alimentació
      • Producció
      • Transformació
      • Distribució
    • Fabricació
      • Fabricació, producció i distribució de productes químics
      • Productes sanitaris
      • Productes informàtics i electrònics
      • Productes òptics
      • Material elèctric
      • Maquinària i equips
      • Vehicles de motor
      • Remolcs
      • Material de transport
    • Serveis postals i de missatgeria
    • Proveïdors de serveis digitals
      • Mercats en línia
      • Motors de cerca en línia
      • Plataformes de serveis de xarxes socials
    • Organismes d'investigació

2) Independentment de la seva mida, la teva empresa estarà subjecta a aquesta Directiva si:

  • la teva empresa realitza una de les activitats esmentades anteriorment i s'aplica a la teva empresa un dels criteris següents:
    • els serveis són prestats per:
      • proveïdors de xarxes públiques de comunicacions electròniques o serveis de comunicacions electròniques disponibles per al públic;
      • prestadors de serveis de confiança;
      • registres de noms de domini de primer nivell i proveïdors de serveis de sistema de noms de domini;
    • l'entitat sigui el únic proveïdor en un Estat membre d'un servei essencial per al manteniment d'activitats socials o econòmiques crítiques;
    • una pertorbació del servei prestat per l'entitat pogués tenir repercussions significatives sobre la seguretat pública, l'ordre públic o la salut pública;
    • una pertorbació del servei prestat per l'entitat pogués induir riscos sistèmics significatius, en particular per als sectors en els quals tal pertorbació podria tenir repercussions de caràcter transfronterer;
    • l'entitat sigui crítica a la llum de la seva importància específica a nivell nacional o regional per al sector o tipus de servei en concret o per a altres sectors interdependents en l'Estat membre;
    • l'entitat sigui una Administració pública
      • central; o
      • regional, si presta serveis la pertorbació dels quals podria tenir un impacte significatiu en activitats socials o econòmiques crítiques.
    • la teva empresa s'identifica com a "entitat crítica" d'acord amb la Directiva (UE) 2022/2557
    • la teva empresa presta serveis de registre de noms de domini.

 

La Directiva NIS 2 subcategoritza encara més aquestes entitats en "essencials" i "importants", però les obligacions per a qualsevol dels dos tipus d'empresa són bàsicament les mateixes.

Espanya té llibertat per ampliar l'àmbit de les entitats afectades per la Directiva NIS 2, de manera que algunes altres institucions, com ara les educatives, podrien afegir-se posteriorment a aquesta llista. Les autoritats espanyoles tenen fins a l'abril de 2025 per establir una llista d'entitats essencials i importants.

Tanmateix, la Directiva NIS 2 no s'aplica a les entitats de l'Administració pública que duguin a terme les seves activitats en els àmbits de la seguretat nacional, la seguretat pública, la defensa o la garantia del compliment de la llei, incloses la prevenció, la investigació, la detecció i l'enjudiciament d'infraccions penals.

També us pot interessar el nostre article sobre el compliment del RGPD i la protecció de dades a les empreses

 

Qui són les autoritats competents?

La Directiva NIS 2 estableix diverses autoritats que supervisaran i faran complir les disposicions de la Directiva, però les dues autoritats amb les quals és més probable que us comuniqueu són les següents:

Autoritats competents: Cada Estat membre designarà o establirà una o més autoritats competents encarregades de la ciberseguretat i de les funcions de supervisió a què fa referència aquesta Directiva.

Equips de resposta a incidents de seguretat informàtica (CSIRT, per les seves sigles en anglès): Aquest equip tindrà responsabilitats com ara fer un seguiment i analitzar les ciberamenaces, les vulnerabilitats i els incidents a escala nacional i, prèvia sol·licitud, prestar assistència a les entitats essencials i importants afectades pel que fa a la supervisió en temps real o quasireal dels seus sistemes de xarxes i d'informació;

Actualment existeixen tres CSIRT a Espanya:

  • CCN-CERT, del Centre Criptològic Nacional per al sector públic.
  • INCIBE-CERT per a la comunitat que no pertanyi al CCN-CERT, ciutadans i entitats de dret privat.
  • ESPDEF-CERT, del Comandament Conjunt de Ciberdefensa, que coopera amb els altres CSIRT en aquelles situacions en què aquests requereixin el suport dels operadors essencials i dels que tinguin incidència en la Defensa Nacional.

Consulta aquí com et pot ajudar un advocat especialista en ciberseguretat

 

Obligació de registre

Com a molt tard el 17 d'abril de 2025, els estats membres han d'elaborar una llista de les entitats essencials i importants, així com de les entitats que presten serveis de registre de noms de domini. Als efectes d'elaborar aquesta llista, se us requerirà que presenteu la informació següent a les autoritats competents:

  1. el nom de l'entitat;
  2. l'adreça i les dades de contacte actualitzades, incloses les adreces de correu electrònic, els rangs d'IP i els números de telèfon;
  3. si escau, el sector i el subsector pertinents als quals fan referència els annexos I o II de la present Directiva, i
  4. si escau, una llista dels Estats membres en els quals presteu serveis compresos en l'àmbit d'aplicació de la present Directiva.

Qualsevol modificació d'aquestes dades s'ha de comunicar en un termini de dues setmanes a comptar des de la data del canvi.

 

Quines mesures hem d'aplicar per gestionar els riscos de ciberseguretat?

Si la Directiva NIS 2 s'aplica a la teva empresa, l'òrgan de direcció de la teva empresa ha d'aprovar les mesures per a la gestió de riscos de ciberseguretat adoptades i supervisar-ne la posada en pràctica.

Les mesures concretes a prendre dependran de la situació, les normes europees i internacionals pertinents, el cost de la seva aplicació, les vulnerabilitats específiques de cada proveïdor i prestador de serveis directe (i els resultats de les avaluacions coordinades dels riscos de seguretat de les cadenes de subministrament crítiques a escala de la Unió realitzades), el grau d'exposició de l'entitat als riscos, la mida de l'entitat i la probabilitat que es produeixin incidents i la seva gravetat, incloses les seves repercussions socials i econòmiques.

No obstant això, les mesures es fonamentaran en un enfocament basat en tots els perills que tingui per objecte protegir els sistemes de xarxes i d'informació i l'entorn físic d'aquests sistemes davant d'incidents, i inclouran almenys els elements següents:

  1. les polítiques de seguretat dels sistemes d'informació i l'anàlisi de riscos;
  2. la gestió d'incidents;
  3. la continuïtat de les activitats, com ara la gestió de còpies de seguretat i la recuperació en cas de catàstrofe, i la gestió de crisi;
  4. la seguretat de la cadena de subministrament, inclosos els aspectes de seguretat relatius a les relacions entre cada entitat i els seus proveïdors o prestadors de serveis directes;
  5. la seguretat en l'adquisició, el desenvolupament i el manteniment de sistemes de xarxes i d'informació, inclosa la gestió i divulgació de les vulnerabilitats;
  6. les polítiques i els procediments per avaluar l'eficàcia de les mesures per a la gestió de riscos de ciberseguretat;
  7. les pràctiques bàsiques de ciberhigiene i formació en ciberseguretat;
  8. les polítiques i els procediments relatius a la utilització de criptografia i, si escau, de xifratge;
  9. la seguretat dels recursos humans, les polítiques de control d'accés i la gestió d'actius;
  10. l'ús de solucions d'autenticació multifactorial o d'autenticació contínua, comunicacions de veu, vídeo i text segures i sistemes segurs de comunicacions d'emergència a l'entitat, quan escaigui.

 

Obligació de formació

Els membres dels òrgans de direcció de la vostra empresa hauran d'assistir a formacions en matèria de ciberseguretat  i se us encoratjarà perquè oferiu formacions similars als vostres empleats periòdicament amb l'objectiu d'adquirir coneixements i destreses suficients que els permetin detectar riscos i avaluar les pràctiques de gestió de riscos de ciberseguretat i la seva repercussió en els serveis prestats per la vostra empresa.

 

Obligació de notificació

Quan cal notificar un incident? 

Haureu de notificar al CSIRT o, si escau, a l'autoritat competent, qualsevol incident que tingui un impacte significatiu en la prestació dels vostres serveis. Quan escaigui, també haureu de comunicar als destinataris dels vostres serveis que puguin veure's afectats per una ciberamenaça significativa les mesures o solucions que aquests destinataris poden aplicar en resposta a l'amenaça.

Cal assenyalar que el mer acte de notificar l'incident no elevarà la responsabilitat de la teva empresa.

 

Què és un "incident significatiu"? 

Un incident es considerarà significatiu si:

  1. ha causat o pot causar greus pertorbacions operatives dels serveis o pèrdues econòmiques per a l'entitat afectada;
  2. ha afectat o pot afectar altres persones físiques o jurídiques en causar perjudicis materials o immaterials considerables.

 

La cronologia de les notificacions:

  1. sense demora indeguda i, en qualsevol cas, en el termini de vint-i-quatre hores des que s'hagi tingut constància de l'incident significatiu, una alerta primerenca en la qual s'indicarà, quan escaigui, si cal sospitar que l'incident significatiu respon a una acció il·lícita o malintencionada o pot tenir repercussions transfrontereres;
  2. sense demora indeguda i, en qualsevol cas, en el termini de setanta-dues hores des que s'hagi tingut constància de l'incident significatiu, una notificació de l'incident en la qual s'actualitzarà, quan escaigui, la informació prevista a la lletra a) i s'exposarà una avaluació inicial de l'incident significatiu, incloent-hi la seva gravetat i impacte, així com indicadors de compromís, quan estiguin disponibles;
  3. a instàncies d'un CSIRT/autoritat competent, un informe intermedi amb les actualitzacions pertinents sobre la situació;
  4. un informe final, com a màxim un mes després de presentar la notificació de l'incident prevista a la lletra b), en el qual es recullin els elements següents:
    • una descripció detallada de l'incident, incloent-hi la seva gravetat i impacte;
    • el tipus d'amenaça o causa principal que probablement hagi desencadenat l'incident;
    • les mesures pal·liatives aplicades i en curs;
    • quan escaigui, les repercussions transfrontereres de l'incident;
  5. en el cas que l'incident continuï en curs en el moment de la presentació de l'informe final previst a la lletra d), haureu de presentar un informe de situació en aquell moment i un informe final en el termini d'un mes a partir que hagin gestionat l'incident.

 

Què cal esperar:

El CSIRT/l'autoritat competent us oferirà, sense demora indeguda i, quan sigui possible, en el termini de vint-i-quatre hores després de la recepció de l'alerta primerenca esmentada anteriorment, una resposta, en particular els seus comentaris inicials sobre l'incident significatiu i, a instàncies vostres, una orientació o assessorament operatiu sobre l'aplicació de possibles mesures pal·liatives. El CSIRT prestarà suport tècnic addicional quan així ho sol·liciteu. Quan se sospiti que l'incident és de naturalesa delictiva, el CSIRT/l'autoritat competent també proporcionarà orientació als efectes de denunciar l'incident significatiu davant les autoritats encarregades de fer complir la llei.

Cal assenyalar que el CSIRT/l'autoritat competent informarà altres estats membres afectats, si n'hi hagués, preservant sempre la seguretat, els interessos comercials i la confidencialitat de la vostra empresa. També podran, prèvia consulta amb la vostra empresa, informar el públic sobre l'incident o exigir-vos que ho feu quan el coneixement públic sigui necessari per evitar un incident significatiu, fer front a un incident significatiu en curs o quan la divulgació de l'incident redundi en l'interès públic.

 

Notificació voluntària

També podreu notificar voluntàriament al CSIRT/a les autoritats competents els incidents, ciberamenaces i quasiincidents que no siguin prou significatius per obligar-vos a informar, però que considereu oportú notificar. Les notificacions voluntàries no donaran lloc a la imposició d'obligacions addicionals a la vostra empresa, la part informant.

Informeu-vos més sobre la prevenció de riscos a la empresa

 

Esquemes europeus de certificació de la ciberseguretat

Als efectes de demostrar la conformitat amb determinats requisits de les mesures de gestió de riscos de ciberseguretat, Espanya té la llibertat d'exigir a la vostra empresa que utilitzi productes, serveis i processos de TIC particulars, desenvolupats per la vostra empresa o adquirits a tercers, que estiguin certificats en virtut de un esquema europeu de certificació de la ciberseguretat. Així mateix, se us promourà que feu ús de serveis de confiança qualificats.

 

Base de dades sobre el registre de noms de domini

S'exigirà que els registres de noms de domini de primer nivell i les entitats que presten serveis de registre de noms de domini recopilin i mantinguin dades exactes i completes sobre el registre de noms de domini en una base de dades amb la deguda diligència, de conformitat amb el Dret de la Unió en matèria de protecció de dades pel que fa a les dades de caràcter personal.

La informació d'aquesta base de dades inclourà:

  • el nom del domini;
  • la data de registre;
  • el nom del sol·licitant, la seva adreça de correu electrònic de contacte i el seu número de telèfon;
  • l'adreça de correu electrònic de contacte i el número de telèfon del punt de contacte que administra el nom de domini en cas que no siguin els del sol·licitant.

Si a la vostra empresa presteu aquests serveis, haureu de comptar amb polítiques i procediments públics, inclosos procediments de verificació, per garantir que aquestes bases de dades incloguin informació precisa i completa. També cal fer públiques les dades de registre del nom de domini que no siguin de caràcter personal, concedir accés a dades específiques prèvia sol·licitud lícita i degudament justificada, i cooperar amb altres registres de noms de domini de primer nivell i entitats que presten serveis de registre de noms de domini per evitar la duplicació de la recopilació de dades.

 

Sancions i mesures d'execució

Atenció: no totes les mesures d'execució de les autoritats seran aplicables a les entitats de l'Administració pública.

Supervisió de les autoritats competents 

La vostra empresa haurà de sotmetre's a la supervisió de les autoritats competents, la qual cosa inclou, per exemple, sotmetre's a inspeccions in situ, auditories de seguretat independents, sol·licituds d'informació, etc. En funció del resultat d'aquesta supervisió, les autoritats podran advertir per l'incompliment, adoptar instruccions vinculants, ordenar el cessament de determinades activitats, etc.

En cas que aquestes mesures d'execució no condueixin al vostre compliment de la llei, i no s'adoptin les mesures que us han demanat en el termini establert, les autoritats competents estaran facultades per:

  • Suspendre temporalment (o sol·licitar legalment que suspengui temporalment) una certificació o autorització referent a una part o a la totalitat dels serveis o activitats pertinents prestats per la vostra empresa.
  • Sol·licitar legalment que es prohibeixi temporalment al seu director general o representant legal exercir funcions de direcció.

fins que adopteu les mesures necessàries per esmenar les deficiències o complir els requisits de l'autoritat.

Els representants legals de la vostra empresa es consideraran responsables per l'incompliment del seu deure de garantir el compliment d'aquesta Directiva.

 

Determinació de les mesures adequades

A l'hora de determinar les mesures adequades, l'autoritat tindrà en compte la gravetat de l'incompliment, la durada, qualsevol incompliment anterior rellevant, tot perjudici causat, qualsevol intencionalitat o negligència, les mesures adoptades per prevenir o reduir els perjudicis, l'adhesió a codis de conducta o a mecanismes de certificació aprovats i la cooperació amb les autoritats.

 

Multes administratives

El vostre incompliment també pot donar lloc a la imposició d'una multa administrativa de fins a 10.000.000 EUR o un màxim del 2% del volum de negocis anual total mundial de la empresa durant l'exercici financer anterior.

 

Si la Directiva NIS 2 s'aplica a la meva empresa, quan hem de començar a complir les nostres obligacions?

Espanya té fins al 17 d'octubre de 2024 per adoptar i publicar les mesures que donin compliment al que estableix aquesta Directiva, i aquestes mesures seran d'aplicació a partir del dia següent, el 18 d'octubre. No obstant això, atès que aquesta Directiva pot entendre's com una ampliació d'una llei ja existent, moltes de les mesures, o mesures similars, ja estan en vigor d'acord amb l'anterior Directiva de ciberseguretat de la UE. Per això, és molt recomanable començar a planificar i implementar mesures i procediments que compleixin amb aquesta Directiva tan aviat com sigui possible, si no ho esteu fent ja.

Informeu-vos sobre totes les obligacions de les empreses de més de 50 treballadors

 

Busqueu assessorament en matèria d'obligacions de protecció de dades? Feu clic a l'enllaç següent per saber en què us podem ajudar: 

ASSESSORIA PROTECCIÓ DE DADES

 

Data de publicació: 14 de juliol, 2026

Última actualització: 14 de juliol, 2026