Skip to main content

NIS erregulazioa, RDL12/2018 y RD43/2021

Nori dago zuzenduta?

Europarako baliagarria den erregulazioa da NIS (Network and Information Security) erregulazioa, eta funtsezko zerbitzuak eskaintzen dituen edozein erakundeko sareen eta informazio-sistemen segurtasuna hartzen du eraginpean. Dena den, aplikagarritasun-desberdintasun batzuk daude, eraginpeko sektoreen eta azpisektoreen zerrenda desberdina baita Europarako eta estaturako.

Edozein kasutan ere, NIS erregulazioa espresuki aplikatuko zaie autoritate eskudunak funtsezko zerbitzuen operadore gisa formalki hautatuak izaten diren erakunde guztiei.

Directiva NIS

Zer da?

Sareen eta informazio-sistemen segurtasun-maila areagotzeko zenbait neurri proposatzen dituen zuzentaraua da, Europar Batasuneko ekonomiarentzat eta gizartearentzat funtsezkoak diren zerbitzuak babesteko asmoz. EBko herrialdeak ziberrerasoak kudeatzeko eta haien aurrean erreakzionatzeko ondo prestatuta eta gertu daudela bermatzea du helburutzat.

Hiru erregulazio-dokumenturen multzoak osatzen du gaur egun NIS erregulazioa:

  • Europako Zuzentaraua, NIS Zuzentarau gisa ezagutua (Europako Parlamentuaren eta Kontseiluaren 2016ko uztailaren 6ko 2016/1148 ZUZENTARAUA (EB), Europar Batasuneko sareen eta informazio-sistemen segurtasun-maila erkide handia bermatzera bideratutako neurriei buruzkoa).
  • NIS Zuzentarau horren transposizioa egiten duen Errege Lege Dekretua (12/2018 Errege Lege Dekretua, irailaren 7koa, sareen eta informazio-sistemen segurtasunari buruzkoa).
  • Aurreko Errege Lege Dekretua, edo NIS Erregelamendua, garatzen duen erregelamendua (43/2021 Errege Dekretua, urtarrilaren 26koa, zeinak sareen eta informazio-sistemen segurtasunari buruzko irailaren 7ko 12/2018 Errege Lege Dekretua garatzen duen).

Funtsezko zerbitzuen operadoreek eta zerbitzu digitalen hornitzaileek bete beharreko gutxieneko segurtasun-neurriak ezartzen ditu erregulazio honek, bientzat bereizita, beren sareak eta informazio-sistemak babesteko, honako hauek nabarmentzen direlarik:

  • Sareen eta informazio-sistemen segurtasun-arriskuak aztertzeko eta kudeatzeko prozesu bat garatzea.
  • Arlo tekniko zein antolamendu-arlo eta arlo operatiboko segurtasun- eta jarraitutasun-neurriak hartzea, eta funtsezko zerbitzuen operadoreen kasuan Segurtasuneko Eskema Nazionalak ezarritako neurriak hartu beharko dira erreferentzia gisa.
  • Funtsezko zerbitzuen operadoreen kasuan, Informazioaren Segurtasunaren arduradun bat formalki izendatzea.
  • Segurtasun-gorabeherak kudeatzeko eta erreferentziazko CSIRTri jakinarazteko mekanismoak garatzea.

Hori horrela, NIS erregulazioak exijentzia sorta zabal bat ezartzen du sareen eta informazio-sistemen arloan, eta funtsezko zerbitzuen operadoreek zein zerbitzu digitalen hornitzaileek zibersegurtasun-maila handiak izan ditzatela ahalbidetzen du.

Zuzentarauaren beste bertsio bat ari dira garatzen gaur egun, NIS2 izenarekin ezagutzen dena, eta 2022. urtean zehar formalki onartuko dela espero da.

Helburuak

NIS erregulazioaren helburuak honako puntu hauetan laburbil daitezke:

  • Gutxieneko eskakizun erkide batzuk ezartzea funtsezko zerbitzuen operatzaileentzat eta zerbitzu digitalen hornitzaileentzat gaitasunak garatzeko, plangintza egiteko, informazioa trukatzeko eta lankidetza gauzatzeko zibersegurtasunaren arloan.
  • Planteamendu zatikatuak eta kontsumitzaileen eta enpresen babes-maila desberdinak saihestuko dituen sareen eta informazio-sistemen segurtasun-maila handia bermatzea, sareen eta informazio-sistemen segurtasun-maila orokorra konprometitzea saihestuz. 
  • Sareak eta informazio-sistemak eraginpean hartzen dituzten mehatxuen aurreran babesa hobetzea ahalbidetzen duten mekanismoak ezartzea ikuspegi integral batekin.

Onurak

NIS erregulazioak ezarritako zibersegurtasun-esparruak ikuspuntu desberdinetatik eraginpean hartutako erakundeei egingo die mesede:

  • Alde batetik, funtsezko zerbitzuen operadoreek eta zerbitzu digitalen hornitzaileek neurri egokiak hartu behar dituzte beren sareentzat eta informazio-sistementzat planteatzen diren arriskuak kudeatzeko, sare eta sistema horien kudeaketa esternalizatuta badago ere.
  • Bestalde, beren gain hartzen dituzten segurtasun-betebeharrak aurre egin behar dioten arrisku-mailarekiko proportziozkoak izango dira, eta maila horien ebaluazio batean oinarrituta egongo dira.
  • Era berean, funtsezko zerbitzuak eta zerbitzu digitalak emateko sareetan eta informazio-sistemetan jasaten dituzten gorabeherak jakinarazi beharra, erreferentziazko CSIRTak zerbitzu horien kudeaketan eta burutzapenean dagokien laguntza emango dutela bermatuta.

NIS erregulazioaren exijentziak ezartzeko kontuan izan beharreko faktoreak

  • Erakundearen tamaina
  • Erakundearen sektorea
  • Erakundeak emandako zerbitzu mota
  • Kontuan hartutako zerbitzuak
  • Eraginpeko sareak eta informazio-sistemak
  • Heldutasun-maila segurtasunean
  • Beste antolamendu-alderdi batzuk

NIS erregulaziora egokitzeko prozesuaren faseak

1. fasea. Proiektua abiaraztea

NIS erregulaziorako egokitzapenak erakundeko goi-zuzendaritzaren inplikazioa izan behar du, sareen eta informazio-sistemen segurtasun-politikak onartu beharko baititu, eta uneoro erregulazioak berak ezartzen dituen printzipioak aplikatzen direla bermatu.

2. fasea. Hedadura mugatzea

NIS erregulazioak eraginpean hartutako sareen eta informazio-sistemen zerrenda identifikatu behar du erakundeak, kasu bakoitzean bermatutako funtsezko zerbitzu edota zerbitzu digitalak kontuan izanda.

Era berean, funtsezko arreta eman beharko zaio sareen eta informazio-sistemen mendekotasunari, kanpo-hornitzaileek emandako zerbitzu edo hornikuntzei, zein hirugarrenen sareekin eta informazio-sistemekin dituzten interakzioei.

3. fasea. Informazioaren Segurtasunaren arduraduna izendatzea

Informazioaren Segurtasunaren arduraduna izendatu beharko da, zeinak harremanetarako eta koordinazio teknikoetarako guneari dagozkion funtzioak egikarituko dituen autoritate eskudunarekin zein dagokion erreferentziazko CSIRTrekin, hiru hilabeteko gehieneko epean, funtsezko zerbitzuen operadore gisa hautatua izan denetik zenbatzen hasita.

4. fasea. Arriskuen azterketa

Ondoren sareek eta informazio-sistemek aurre egin beharreko arriskuen azterketa burutuko da, segurtasun-neurri aplikagarriak zehaztuta, neurri horien zerrenda "Aplikagarritasun Deklarazioa" deitutako dokumentuan bilduko delarik.

Aplikagarritasun Deklarazio hori, segurtasun-politikarekin batera, dagokion autoritate eskudunari igorri beharko zaio sei hilabeteko epean funtsezko zerbituen operadore gisa hautatua izan denetik.

5. fasea. Segurtasun-neurriak ezartzea

Zerbitzu digital eta funtsezkoen operadoreek arriskuen azterketaren argitara beharrezkotzat hartzen diren segurtasun- eta jarraitutasun-neurrien ezarpena burutuko dute.

Neurri horiek espresuki bilduko dituzte gerta daitezkeen segurtasun-gorabeheren kudeaketa eta jakinarazpen egokia burutzeko beharrezkoak diren jardun guztiak.

Era berean, funtsezko zerbitzuen operadoreek garatzen dituzten neurriak Segurtasuneko Eskema Nazionalean ezarritakoaren arabera arautuko dira.

6. fasea. Ikuskapena

Agintari eskudunek gainbegiratuko dute, beren jardun-esparruan, funtsezko zerbitzuen operadoreei zein zerbitzu digitalen hornitzaileei dagozkien gorabeheren segurtasun- eta jakinarazpen-betebeharrak betetzen direla. Betetze hori segurtasun-eskema bateko ziurtapen bidez egiaztatu beharko da, zeina, aldez aurretik erreferentziazko CSIRTari kontsulta egin ondoren, autoritate eskudunak zeregin horretarako baliozkotzat onartuko duen.

Non jaso daiteke aholkularitza edo kontratatu daiteke NIS gidarako egokitzapena?

BCSCk erakundeen zein enpresa pribatuen eskueran jartzen du “Zibersegurtasunaren Liburu Zuria Euskadin”, gure toki-ekosistemaren ikuspegi osoa biltzen duen dokumentua, berrikuntzako, ikerketako, ekintzailetzako... perspektibekin, eta dokumentu horretan biltzen da horrelako zerbitzuak eskaintzen dituzten zibersegurtasuneko hornitzaileen katalogoa, zerbitzu horiek eskatzeko interesa duten erakundeek erabakiak hartzeko lagungarria izango den erreferentzia-puntu bat izateko helburuarekin betiere.

Euskadiko zibersegurtasunaren merkatuaren laburpen edo argazki gisa baliagarria da katalogoa, eta zerrenda bizia, berrikusia eta aldian behin eguneratua da, zerbitzuen digitalizazioaren arloko etengabeko bilakaera eta aurrerabidea, eta sortzen diren aukerak direla eta.

BCSC Liburu Zuria

Erreferentziak

Sareen eta informazio-sistemen zibersegurtasunari buruzko 2016/1148 Zuzentaraua (EB) https://eur-lex.europa.eu/legal-content/ES/LSU/?uri=CELEX:32016L1148

NIS Errege Lege Dekretua: https://www.boe.es/diario_boe/txt.php?id=BOE-A-2018-12257

NIS Errege Dekretua: https://www.boe.es/diario_boe/txt.php?id=BOE-A-2021-1192

43/2021 Errege Dekretuari buruzko ohiko galderak: https://www.incibe-cert.es/FAQ-RD_43-2021

Real Instituto Elcano erakundearen azterketa:   http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/ari19-2021-arteaga-evaluacion-y-revision-de-la-directiva-nis-2-0

Partekatu

Linkedin partekatu