NIS2: El nou avantprojecte de llei sobre governança i ciberseguretat a Espanya

En un context de creixents incidents de Seguretat i filtracions de dades critiques de les grans empreses cada setmana, Espanya ha fet un pas clau amb la publicació de l'avantprojecte de la Llei de Coordinació i Governança de la Ciberseguretat. mesos tard, ja que el termini per a la transposició de la Directiva Europea NIS2 va acabar el 17 d'octubre del 2024, i avui dia només es compta amb un «Avantprojecte de llei» Aquesta normativa busca alinear el marc nacional amb la Directiva Europea NIS2, enfortint la seguretat als sectors crítics i essencials per a l'economia i la societat. A continuació, explorarem els punts més rellevants de l'avantprojecte i les seves implicacions per al entorn empresarial.

Un marc robust per a una ciberseguretat integral

L?avantprojecte estableix un enfocament integral per garantir un nivell comú de ciberseguretat a Espanya. Un dels seus objectius principals és millorar la coordinació entre els diferents actors nacionals i internacionals, establint el Centre Nacional de Ciberseguretat (CNC) com l'autoritat única encarregada de supervisar i gestionar les activitats de ciberseguretat al país. Aquest organisme actuarà com a punt de contacte amb la Unió Europea i coordinarà amb altres entitats clau com el Centre Criptològic Nacional (CCN) i el Institut Nacional de Ciberseguretat (INCIBE).

A més, la llei introdueix obligacions específiques per a les entitats essencials e importants, classificades segons el seu impacte potencial a la seguretat nacional i l'estabilitat econòmica. Entre aquestes mesures destaquen l'obligatorietat d'implementar sistemes robustos de gestió de riscos, notificar incidents de manera ràpida i adoptar estratègies proactives per prevenir atacs cibernètics.

¿ A qui afecta aquesta llei?

L'àmbit d'aplicació de l'avantprojecte inclou tant empreses públiques com privades que operen en sectors crítics com energia, transport, sanitat i telecomunicacions. Les entitats essencials, definides com aquelles amb un gran impacte potencial en la seguretat i l'estabilitat del país, enfrontaran requisits més estrictes que les entitats importants.

Entre les empreses afectades destaquen:

  • Proveïdors de serveis d'infraestructures digitals.
  • Operadors de xarxes de telecomunicacions.
  • Empreses denergia, aigua i transport.
  • Institucions financeres i grans corporacions.

A més, l'avantprojecte també inclou universitats i centres de recerca relacionats amb sectors crítics, així com empreses tecnològiques amb incidència en la defensa nacional.

Implicacions clau per a les empreses

La implementació daquesta llei tindrà un impacte significatiu en lentorn empresarial. A continuació, es detallen les principals implicacions:

  1. Obligacions de gestió de riscos i notificació dincidents.
    Les empreses hauran dadoptar un enfocament sistemàtic per identificar, avaluar i mitigar els riscos de ciberseguretat. A més, se'ls exigirà notificar incidents significatius en terminis estrictes a través de la Plataforma Nacional de Notificació i Seguiment de Ciberincidents, garantint una resposta ràpida i coordinada.
  2. Requisits de certificació.
    L'avantprojecte contempla la utilització d'esquemes de certificació com el Perfil de Compliment Específic (PCE-NIS2), alineat amb l'Esquema Nacional de Seguretat (ENS). Les empreses hauran de demostrar que compleixen els estàndards establerts per garantir la protecció dels seus sistemes i dades.
  3. Col·laboració intersectorial i transfronterera.
    Es fomenta lintercanvi dinformació entre sectors i països de la Unió Europea. Això permetrà una millor detecció i resposta davant d'amenaces transnacionals, però també implicarà que les empreses comparteixin informació sensible sota estrictes protocols de seguretat.
  4. Major supervisió i sancions.
    L'incompliment de les obligacions establertes pot derivar en sancions econòmiques considerables. Les autoritats de control, sota la direcció del CNC, faran auditories periòdiques per verificar el compliment de les mesures de seguretat.

Beneficis a llarg termini

Tot i que l'adaptació a aquesta llei suposarà un esforç per a les empreses, també portarà beneficis significatius. Un enfocament més robust en ciberseguretat no només protegeix els actius crítics de les organitzacions, sinó que també millora la confiança de clients, socis i accionistes.

A més, la col·laboració amb altres sectors i països de la Unió Europea posicionarà Espanya com un referent en la gestió de riscos de ciberseguretat, atraient inversions i enfortint el teixit empresarial.

Propers passos per a les empreses

  1. Realitzar una anàlisi de bretxes:
    Identificar les àrees que cal adaptar als nous requisits.
  2. Adoptar mesures proactives:
    Implementar sistemes de gestió de riscos, notificacions dincidents i certificacions necessàries.
  3. Formació i sensibilització:
    Capacitar els empleats per identificar i respondre davant de ciberamenaces.
  4. Col·laborar amb experts:
    Associar-se amb proveïdors de serveis i consultors especialitzats per garantir-ne el compliment normatiu.

 Conclusió

La Llei de Coordinació i Governança de la Ciberseguretat suposa un canvi significatiu al panorama normatiu d'Espanya. no només serà una obligació legal, sinó també un avantatge competitiu en un món cada cop més interconnectat.

Comparteix aquest contingut:

Deixa un comentari

LIVE WEBINAR | 1/2/2024

Com protegir el teu Active Directory d'atacs Ransomware amb Tenable

Servei d'avisos

Rep les alertes més importants