La Directiva NIS2 estableix un marc comú de ciberseguretat per a tota la Unió Europea (UE). Encara que la llei espanyola de transposició segueix en tramitació parlamentària, les obligacions de fons ja existeixen i les administracions locals han de saber en què els afecta.
La Directiva NIS2 inclou l’administració pública com a sector d’alta criticitat. L’avantprojecte de llei espanyol preveu que els municipis de més de 20.000 habitants i les seves entitats dependents quedin dins l’àmbit d’aplicació directa. Pel que fa als municipis més petits, aquests no estan automàticament exempts si presten serveis essencials com el subministrament d’aigua, la gestió de residus o infraestructures digitals compartides.
El Centre Criptològic Nacional (CCN) ha publicat en el seu web un document on reconeix que les mesures de gestió de riscos que exigeix la Directiva NIS2 troben correspondència directa en les mesures de l’Esquema Nacional de Seguretat (ENS). Una entitat que ha implementat l’ENS en categoria Mitjana o Alta cobreix, en gran mesura, els requisits estructurals de NIS2.
La situació a Catalunya està millorant però cal avançar molt més en aquest sentit.
L’Agència de Ciberseguretat de Catalunya com a Òrgan d’Auditoria Tècnica (OAT), i Localret, amb l’acord marc de serveis de Ciberseguretat, estan ajudant als municipis de Catalunya a certificar-se en l’ENS per incrementar així la seva resiliència i complir amb la regulació.
Des de l’AOC entenem que fer aquest pas no és només una obligació normativa, és la millor inversió que es pot fer per garantir que els serveis digitals siguin resilients i de confiança per als ciutadans.
Per aquest motiu aquest any 2026 es durà a terme la certificació de la totalitat dels serveis de l’AOC en l’Esquema Nacional de Seguretat de Nivell Alt, assegurant així tant el compliment normatiu com la resiliència de les plataformes que sostenen els serveis.
