Normes i estàndards de ciberseguretat: tot el que la teva empresa ha de saber.

En el context actual, on les amenaces cibernètiques i la protecció de dades són de vital importància, les organitzacions han de complir una varietat de normatives i estàndards de ciberseguretat per garantir la seguretat dels seus sistemes, la privacitat de les dades i la resiliència operativa. Entre les normatives més destacades es troben el NIS2, el DORA, el RGPD, l’ENS i la ISO 27001. Tot i que totes elles estan relacionades amb la ciberseguretat, cadascuna té un enfocament i abast diferents. En aquest article, explicarem les diferències entre aquestes normatives, els sectors que afecten, els terminis d’aplicació i la rellevància de la ISO 27001 en aquest context.

1. Principals diferències entre les Normes i Estàndards de Seguretat.

Les actuals normes i estàndards de seguretat es diferencien essencialment en dos factors:

1. Àmbit d’aplicació. Cadascuna pretén al final la protecció de la informació i els actius digitals de les organitzacions però amb àmbits d’aplicació diferents basats en criteris com la criticitat dels serveis prestats.
2. Obligatorietat de la norma. Les normes són lleis exigibles, els estàndards, com la ISO, són de caràcter voluntari, tot i que a la pràctica poden ser exigides per proveïdors, amb la qual cosa la voluntarietat és discutible.
3. NIS2: La Directiva sobre Seguretat de les Xarxes i Sistemes d’Informació.

Objectiu: La Directiva NIS2 té com a fi augmentar la ciberseguretat en les xarxes i sistemes d’informació de la Unió Europea, especialment en sectors clau que són essencials per a l’economia i la societat.

Sectors aplicables:

• Energia.
• Transport.
• Banca.
• Infraestructures d’aigua i salut.
• Proveïdors de serveis digitals (núbol, motors de cerca, mercats en línia).

Termini d’aplicació:

El termini per transposar la Directiva NIS2 als Estats membres va finalitzar el 17/10/2024. A Espanya es va tancar la consulta pública el 10/02/2025 i la llei es troba en la fase final de redacció i aprovació.

3. DORA: La Regulació de Resiliència Operativa Digital.

Objectiu:

DORA (Digital Operational Resilience Act) busca assegurar que les entitats del sector financer siguin resilients davant d’incidents cibernètics, protegint l’estabilitat dels mercats financers.

Sectors aplicables:

• Bancs.
• Asseguradores.
• Fons de pensions.
• Proveïdors de serveis financers (fintech).
• Infraestructures del mercat financer.

Termini d’aplicació:

En vigor des del 17/01/2025 sense necessitat de transposició al tractar-se d’un Reglament.

4. RGPD: El Reglament General de Protecció de Dades.

Objectiu:

El RGPD regula el tractament de les dades personals a la UE, garantint la protecció de la privacitat de les persones i establint requisits rigorosos sobre com les empreses han de gestionar i protegir aquestes dades.

Sectors aplicables:

• Totes les empreses que tractin dades personals de ciutadans de la UE, independentment de la seva ubicació.
• Empreses que ofereixin béns o serveis a persones a la UE.
• Organitzacions que monitoritzin el comportament de persones a la UE.

Termini d’aplicació:

El RGPD està en vigor des de 2018, i el seu compliment és obligatori des d’aquesta data. Consulta aquí els 5 errors més comuns en implementar el RGPD.

5. ENS: Esquema Nacional de Seguretat (Espanya).

Objectiu:

L’ENS és una normativa espanyola que establix un marc per garantir la seguretat dels sistemes d’informació en el sector públic i en les empreses que interactuen amb l’Administració Pública, protegint la confidencialitat, integritat i disponibilitat de les dades.

Sectors aplicables:

• Administracions públiques (central, autonòmica i local).
• Empreses que gestionen informació pública o interactuen amb l’Administració Pública.
• Proveïdors de serveis essencials per a l’Administració.

Termini d’aplicació:

L’ENS està en vigor des de 2010, amb actualitzacions el 2020 que han millorat els requisits de seguretat.

6. ISO 27001: Sistema de Gestió de Seguretat de la Informació.

Objectiu:

La ISO 27001 és una norma internacional que establix els requisits per implementar un sistema de gestió de seguretat de la informació (SGSI). El seu objectiu és garantir que la informació es gestioni de manera segura, protegint la seva confidencialitat, integritat i disponibilitat mitjançant una sèrie de controls i polítiques. La ISO 27001 és una certificació voluntària que pot ser obtinguda per qualsevol tipus d’organització, independentment de la seva mida o sector.

Sectors aplicables:

A diferència d’altres normatives, la ISO 27001 no està dirigida a sectors específics, sinó que és aplicable a qualsevol organització que desitgi protegir la informació sensible, ja sigui pública o privada. Això inclou:

• Empreses de qualsevol sector.
• Proveïdors de serveis.
• Organitzacions del sector públic i privat.

Termini d’aplicació:

La ISO 27001 és una certificació voluntària, per tant no té un “termini d’aplicació” com a tal. No obstant això, les organitzacions que desitgin obtenir-la han de seguir un procés d’implementació i auditoria que pot durar diversos mesos, depenent de la complexitat dels sistemes de l’empresa.

Principals Diferències entre les Normes i Estàndards de Ciberseguretat.

Àmbit i objectiu de les Normes i Estàndards de Ciberseguretat:

• NIS2 es centra en la protecció d’infraestructures crítiques i serveis essencials a la UE, com l’energia o la salut.
• DORA està dissenyat per millorar la resiliència cibernètica en el sector financer.
• RGPD regula el tractament de dades personals i la protecció de la privacitat dels ciutadans.
• ENS establix requisits de seguretat per als sistemes d’informació de l’Administració Pública i els seus proveïdors a Espanya.
• ISO 27001 és un estàndard internacional per a la gestió de la seguretat de la informació, aplicable a qualsevol organització.

Sectors afectats:

• NIS2 afecta sectors com energia, transport i salut.
• DORA és aplicable al sector financer.
• RGPD s’aplica a totes les empreses que tractin dades personals de ciutadans de la UE.
• ENS s’aplica a les administracions públiques i els seus proveïdors a Espanya.
• ISO 27001 pot ser implementada per qualsevol organització que desitgi millorar la seva seguretat de la informació.

Terminis d’exigibilitat:

• NIS2 va entrar en vigor el 2024.
• DORA va entrar en vigor el gener de 2025.
• RGPD està en vigor des de 2018.
• ENS està en vigor des de 2010.
• ISO 27001 és una certificació voluntària i no té un termini d’exigibilitat; la seva obtenció depèn de la decisió de l’organització.

Enfocament de compliment:

• NIS2, DORA, RGPD i ENS són normatives amb un enfocament regulatori i, en alguns casos, amb sancions per incompliment.
• ISO 27001 és un estàndard voluntari amb un enfocament més orientat a la millora contínua de la seguretat de la informació.

Conclusió

Cadascuna d’aquestes normes i estàndards de ciberseguretat juga un paper crucial en la protecció de la informació, però tenen enfocaments diferents. El NIS2 i el DORA són regulacions europees orientades a sectors específics com les infraestructures crítiques i el sector financer, mentre que el RGPD regula la protecció de dades personals. L’ENS, per la seva banda, estableix un marc de seguretat a Espanya.

Autor: Víctor Roselló, Advocat.

Si necessites més informació, contacta amb nosaltres!

Informació sobre protecció de dades

Denominació social
LEGAL IT GLOBAL 2017, SLP
Finalitat
Prestar el servei.
Enviament del Butlletí informatiu.
Legitimització
Compliment de la prestació de servei.
Consentiment.
Destinataris
Les teves dades no seran compartides amb cap tercer, excepte aquells proveïdors de serveis amb els que disposem d’un contracte de serveis vigent.
Drets
Pots accedir, rectificar o suprimir les dades, així com exercir els drets que s’esmenten en la nostra Política de Privacitat.
Més informació
Consulta la Política de Privacitat.