Els ciberatacs s’han incrementat exponencialment en els darrers anys. Només a Catalunya, el 2023 es van registrar més de 5.000 milions d’atacs i prop de 2.670 incidents de seguretat, un 14% i un 23% respectivament, segons les dades més recents de l’Agència de Ciberseguretat. Les causes són la professionalització de l’activitat i una vida cada cop més digitalitzada en tots els aspectes, des del personal fins al laboral. A aquest context cal sumar-li una tecnologia com la intel·ligència artificial que ha demostrat tenir un gran potencial de creixement i d’aplicació, però que demana dades i més dades per operar correctament. Aquest caldo de cultiu genera un entorn delicat que cal protegir, i això és el que pretén la Comissió Europea amb l’aprovació de la Directiva sobre Seguretat de les Xarxes i els Sistemes Informàtics 2 (NIS2, per les sigles en anglès), que incorpora una capa extra d’obligacions respecte de la primera versió del marc normatiu aprovat el 2016.

“Tot el que es refereix a la ciberseguretat ha canviat molt des que es va aprovar la NIS el 2016 i això ha obligat a reformular les mesures que inicialment havia plantejat la Unió Europea”, assenyala el president de la Secció TIC del Col·legi de l'Advocacia de Barcelona (ICAB), Marc Gallardo. La normativa defineix una llista de sectors considerats essencials i importants per la influència econòmica i social, i per la delicadesa de la informació que utilitzen. També manté la definició de sectors estratègics entre molt crítics i crítics, però amplia els que hi entren i en suma 18: energia, banca, infraestructures de mercats financers, sanitat, transport, infraestructures digitals, aigües potables, aigües residuals, administració pública, gestió de serveis TIC i espais, com a sectors molt crítics; investigació, química, alimentació, serveis postals, proveïdors digitals, fabricació i gestió de residus, com a sectors crítics. “La NIS 1 era per a operadors de serveis essencials i de serveis digitals, però ara s’han afegit indústries noves perquè la UE considera que requereixen una resiliència reforçada pel fet de ser estratègics i amb infraestructures crítiques”, apunta l’advocat.

La NIS2 incorpora nous operadors i sectors considerats importants per la seva influència social i econòmica, i per la delicadesa de la informació que utilitzen

A més a més, s’incorpora l’obligatorietat de complir la normativa per a les empreses petites que es troben en alguna d’aquestes àrees. Fins ara, la directiva aplicava a les companyies amb un volum de negoci superior als 10 milions d’euros o més de 50 treballadors.

Uns terminis que no es compleixen

La Directiva (UE) 2022/2555 es va presentar el desembre del 2022 i es va publicar un mes més tard. Aquest dimecres, acabava el termini perquè els Estats membres transposessin la llei, mitjançant la qual cadascú ha de definir els elements per a la seva aplicació. El text europeu defineix uns estàndards d’actuació que ara cal concretar. El següent pas, el gener del 2025, és comunicar a la Unió Europea el règim sancionador i quatre mesos més tard, comunicar el llistat d’entitats a les quals apel·la el document.

Malgrat que hi ha aquestes dates establertes, Gallardo té clar que Espanya no les complirà: “És un problema bastant comú, desgraciadament, i de diversos països”. Fins al moment, només Croàcia, Bèlgica i Hongria han redactat una norma interna per aplicar el marc internacional, però l’advocat recorda que tard o d’hora arribarà i que les empreses haurien de començar a fer els deures. “Encara que no hi hagi les mesures concretes, poden començar a aplicar tot el que té a veure amb promoure la sensibilització a l’organització, perquè és una tasca que es limiti només a la direcció. Cal un pla de formació i crear una cultura de la ciberseguretat. També es pot construir ja un nou model de govern i assignar un responsable que tingui les funcions de fer efectiva la detecció i notificació d’incidents”, descriu. Si s’avancen, afegeix, “els costarà menys assolir els objectius quan s’implementi definitivament”.

Les empreses espanyoles no poden aplicar de forma adequada la NIS2 fins que el govern no redacti la norma interna a la qual obliga la transposició

A què obliga la normativa?

Un dels elements principals de la NIS2 és la responsabilitat que han d’adquirir les direccions i consells d’administració respecte de la ciberseguretat. La nova llei obligarà els alts càrrecs a supervisar les mesures i ser responsables davant de qualsevol negligència en un incident. En aquest sentit, guanya importància també la cultura de la ciberseguretat en les organitzacions.

Una altra qüestió que destaca és l’obligatorietat d’informar en menys de 24 hores de qualsevol incident, i actualitzar-la amb l’impacte que ha tingut i la implicació que això pot suposar en un màxim de 72 hores. Tota aquesta comunicació s’ha d’establir amb un ens regulador local que cada Estat designa a la transposició de la norma. A Espanya, encara no s’ha nomenat cap nom ni organisme, així que un dels organismes sobre els quals podria recaure la tasca és l’Incibe o el CNN-CERT.

Vinculat a aquest punt de la Directiva que detalla els elements de la NIS2, el responsable de Negoci d’Áudea Seguretat, propietat de Logicalis, Antonio Martínez, posa el focus sobre la importància de dotar de recursos l’àrea de gestió de crisi: “Les empreses podran rebre ajuda quan els incidents tinguin impacte en un sector determinat o impliqui un nombre elevat d’empreses i organitzacions, però és una cosa més que no està definida perquè no hi ha transposició”.

Els equips directius seran responsables directes de qualsevol incident mal gestionat i hauran d’informar en menys de 24 hores a l’ens regulador, encara per definir

L’expert també assenyala la importància de tenir un bon control sobre la cadena de participants en un producte o servei. Així, tots els proveïdors hauran de complir amb la regulació de la mateixa manera que el client final. “La normativa posa èmfasi en el monitoratge i gestió de la seguretat. No diu explícitament com fer-ho, sinó que parla de valorar el risc del procediment o l’eina que s’utilitza, però caldrà oferir les garanties pertinents al complet”, apunta. La privacitat i la seguretat també han de ser per defecte des del disseny.

En el cas d’Espanya, Martínez considera que hi ha mig camí recorregut amb l’ús de certificacions com l’ISO 27701. Aquesta eina de responsabilitat proactiva ajuda a complir els principis i obligacions que imposa la legislació en matèria de protecció de dades i privacitat, com és el Reglament Europeu de Protecció de Dades (RGPD) i la Llei Orgànica de Protecció de Dades i Garantia de Drets Digitals (LOPDGDD). “Aquí també entren en joc possibles certificacions noves que calgui demanar als proveïdors per garantir la seva bona fe”, comenta, “segurament el mecanisme que es definirà amb la llei interna que s’aprovi anirà per aquí”.

Altres processos que s’esmenten al text com a essencials per oferir garanties són la possessió de còpies de seguretat adequades, programari actualitzat, encriptació d’extrem a extrem i autenticació multifactorial.

Les empreses que no compleixin amb la normativa rebran unes sancions “efectives, proporcionades i dissuasives”, segons el text. Poden ser en forma de multa o de prohibició temporal dels directius responsables. Els detalls es coneixeran un cop Espanya faci la transposició.

Una afectació desigual

Les empreses que ja entraven en la catalogació feta pel NIS2 no patiran grans canvis, però Martínez reconeix que poden tenir problemes les pimes que operin en algun dels sectors descrits. “Potser la maduresa de partida no sigui òptima i hagin de posar-hi més esforços, però tota la feina feta prèviament a Espanya amb les certificacions i l’Esquema Nacional de Seguretat faran que no parteixin totalment de zero”, afirma. Tot i això, per tal de relaxar qualsevol por, recorda que el document parla en tot moment de “principi de proporcionalitat” davant dels riscos, de manera que demana “equilibri i sentit comú” a l’hora d’invertir per evitar una despesa massa gran per a la protecció que cal per a cada servei i eina.

L’advocat expert en temes legals, Marc Gallardo, té una visió més pessimista i considera que Espanya es troba a la cua en coneixement i implantació de mesures de ciberseguretat. “Tenim una cultura febre”, insisteix, però recorda que tot el marc de treball per implementar el que marca la directiva es basa en marcs estàndards europeus: “Així es podrà donar compliment a la gran majoria de requeriments de forma fàcil. No estem parlant de recursos o processos tècnics difícilment assolibles, sinó de mesures sobre les quals ja hi ha una normativa madura”. El que sí que recorda que requerirà és temps, sensibilització i un pressupost concret.