Butlletins de l'Oficina de Seguretat

Servei de Salut de les Illes Balears (Ibsalut)

Butlletí núm. 101 - Aprovada la Directiva NIS2 relativa a mesures de ciberseguretat

El 27 de desembre de 2022 es va publicar en el Diari Oficial de la Unió Europea la Directiva (UE) 2022/2555 del Parlament Europeu i del Consell, relativa a les mesures destinades a garantir un nivell comú elevat de ciberseguretat a tota la Unió. Aquesta Directiva també es coneix com NIS2, per la sigla anglesa de Network and Information Security.


La Directiva NIS2 estableix obligacions de ciberseguretat per als Estats membres, mesures per gestionar riscs de ciberseguretat i obligacions de notificació per a les entitats en el seu àmbit d’aplicació, obligacions relatives a l’intercanvi d’informació sobre ciberseguretat, així com també obligacions de supervisió i execució per als Estats membres.

El punt de partida d’aquesta Directiva és l’anterior Directiva NIS, aprovada al juliol de 2016 amb el propòsit d’establir mesures que garantissin un nivell comú elevat de seguretat en les xarxes i sistemes de la Unió Europea. La finalitat de la Directiva NIS era reduir l’impacte en la societat davant un incident de seguretat en les xarxes o sistemes d’informació d’un actor econòmic fonamental per al país, alhora que proporcionar una resolució primerenca enfront d’incidents.

En el marc d’una societat cada vegada més interconnectada i digitalitzada, els reptes de la ciberseguretat són cada vegada més difícils, atès que les amenaces són cada vegada més sofisticades. Per fer front a aquest auge, la Directiva NIS2 compta amb les novetats principals següents:

  • Incorporació del concepte sectors importants, que engloba l’àmbit sanitari i determinats aspectes de l’administració pública, entre d’altres sectors com la gestió de residus, sector aeroespacial, els proveïdors i fabricadors de serveis digitals, el sector alimentari, serveis postals i aquells dedicats a la producció i distribució de substàncies de productes químics.
  • Introducció de nous requisits de seguretat, la privacitat des del disseny i, per defecte, l’obligació de xifrat, requisits quant a la resposta a incidents i la certificació de serveis, sistemes o productes sota els esquemes europeus de certificació.
  • Unificació normativa entre els Estats membres i designació de l’Agència de la Unió Europea per a la Ciberseguretat (ENISA) com a responsable de difondre noves normes per prevenir, detectar i respondre a ciberatacs entre els Estats membres i les autoritats competents.
  • Integració amb la normativa sectorial. Per mitjà d’aquesta actualització normativa es pretén eliminar les diferències en l’aplicació de requisits i mesures en el context de la ciberseguretat, establint normes mínimes i mecanismes per a una cooperació entre autoritats. D’aquesta manera s’estableix la Xarxa Europea d’Organització d’Enllaç de Crisis Cibernètiques (EU-CYCLONe) per a la coordinació en la gestió de ciberatacs.
  • Reforç de les obligacions de notificació. Quan el coneixement dels ciutadans sigui necessari per evitar un incident significatiu, per fer front a un incident significatiu en curs, o quan la divulgació de l’incident significatiu redundi en l’interès públic, tant el CSIRT (nacional o de tercers estats) com les autoritats competents poden prendre la iniciativa d’informar de l’incident els ciutadans (després de consultar-ho amb l’entitat afectada) o, fins i tot, d’exigir a l’entitat afectada que ho faci.
  • Establiment d’obligacions d’esmena. Es poden establir obligacions per mitigar els efectes negatius derivats de l’incident de seguretat en la consideració que aquest tipus d’incidents no són simplement qüestions privades de l’organització sinó que excedeixen l’àmbit de la llibertat d’empresa atès que es tracta de qüestions de seguretat nacional i que, per tant, afecten tota la societat.
  • Responsabilitat de la direcció de l’empresa. La responsabilitat del compliment de les mesures de ciberseguretat recau en els òrgans directius de l’empresa. Addicionalment s’estableixen obligacions de formació als membres dels òrgans de direcció de les entitats essencials i importants.
  • Reforç de les exigències de seguretat pel que fa als proveïdors. La Directiva NIS2 estableix que les organitzacions poden exigir als proveïdors que compleixin la normativa, si aquestes són considerades operadors crítics.

 

Com afecta aquesta nova normativa al Servei de Salut de les Illes Balears?

Pel fet d’afegir-se el concepte sectors essencials —en el qual s’inclou l’administració pública i el sector sanitari— aquesta normativa és aplicable en l’àmbit del Servei de Salut dels Illes Balears.

Això obliga, si encara no tenia lloc, a comptar amb un responsable de seguretat de la informació (RSI), implantar la gestió dels riscs per a les xarxes i els sistemes d’informació, desenvolupar polítiques de seguretat i notificar incidents que puguin tenir efectes pertorbadors en el servei.

En aquest sentit, en relació amb el sector sanitari, cal esmentar la vinculació de les noves obligacions de la NIS2 com un nou llindar mínim per a les administracions públiques sanitàries, com a subjectes obligats, respecte a les obligacions referides a mantenir un nivell de seguretat adequat tenint en compte al mateix temps les diferents normatives sanitàries: l’article 17 de la Llei 41/2002 d’autonomia del pacient, en referència a la seguretat de les històries clíniques; l’article 10 de la Llei 5/2003 de salut de les Illes Balears, relatiu a la protecció correcta del dret a la intimitat dels pacients; l’article 32 del Reglament general de protecció de dades (RGPD), sobre la seguretat del tractament de dades.

A més, respecte a la diligència deguda recollida en l’article 28 del RGPD, s’ha de tenir una consideració especial a l’hora de seleccionar nous proveïdors de serveis tenint en compte les noves disposicions que obliguen a exigir que es compleixin els estàndards marcats en la NIS2 en matèria de seguretat i que es veuran reflectits per la transposició a la normativa nacional de cada país membre de la UE, amb la qual cosa es requeriran uns nivells de compliment i seguretat més elevats.

La Directiva NIS2 va entrar en vigor al cap de vint dies de ser publicada en el Diari Oficial de la Unió Europea. Els Estats membres disposen, a partir de llavors, de vint-i-un mesos per traslladar el nou text europeu als seus ordenaments jurídics. Així, han d’aplicar les mesures com a molt tard a partir del 18 d’octubre de 2024.