Consultoria GRC

A qui aplica

L'ENS és d'aplicació obligatòria a totes les administracions públiques espanyoles i als proveïdors privats que tracten sistemes d'informació de l'administració o presten serveis tecnològics a entitats públiques.

Inclou ajuntaments, consells comarcals, diputacions, organismes autonòmics i qualsevol empresa que vulgui contractar amb l'administració en àmbits TIC.

Nivells de seguretat

• Bàsic — sistemes amb impacte limitat en cas de compromís
• Mig — sistemes amb impacte considerable
• Alt — sistemes amb impacte greu o molt greu

El nivell el determina l'anàlisi de riscos sobre les dimensions de seguretat de cada sistema (confidencialitat, integritat, disponibilitat, autenticitat i traçabilitat).

El nostre procés

1. Anàlisi GAP — revisió de l'estat actual respecte als 73 controls del marc ENS
2. Categorització — determinació del nivell de seguretat dels sistemes
3. Pla d'adequació — mesures prioritzades per complir el marc en el termini establert
4. Implementació — acompanyament en la posada en marxa de les mesures tècniques i organitzatives
5. Declaració d'aplicabilitat — document que recull les mesures aplicades i justificació de les excloses
6. Preparació auditoria — revisió prèvia i suport durant el procés de certificació o conformitat

A qui aplica

NIS2 afecta entitats essencials i importants dels sectors inclosos als Annexos I i II de la Directiva: energia, transport, banca, infraestructura digital, sanitat, alimentació, manufactura, serveis digitals i altres.

El criteri de mida és determinant: organitzacions de 50 o més empleats o amb una facturació superior als 10 M€ que operin en els sectors llistats. Les administracions públiques queden incloses independentment de la mida.

Sancions

• Entitat essencial: fins a 10 M€ o 2% de la facturació global anual
• Entitat important: fins a 7 M€ o 1,4% de la facturació global anual
• Responsabilitat personal dels òrgans de direcció en cas d'incompliment reiterat

El nostre procés

1. Avaluació d'aplicabilitat — determinem si la vostra organització és entitat essencial, important o queda fora d'àmbit
2. Anàlisi de buits — revisió de les 10 mesures obligatòries del Art. 21 de la Directiva
3. Pla de mesures — accions prioritzades amb responsables i terminis
4. Implementació — acompanyament tècnic i organitzatiu en la posada en marxa
5. Notificació i registre — suport en el registre com a entitat afectada davant l'autoritat competent
6. Revisió contínua — NIS2 no és un projecte puntual, és una obligació de gestió permanent

A qui aplica

ISO 27001 no és obligatòria per llei, però és exigida cada vegada més per clients corporatius, en licitacions públiques i com a requisit de cadena de subministrament.

Qualsevol organització, independentment de la mida o sector, pot implantar un SGSI i obtenir la certificació per una entitat acreditada. La certificació demostra que la gestió de la seguretat és sistemàtica, auditada i millorada contínuament.

Per a les pimes

L'estàndard permet escalar l'abast: podeu certificar un servei concret, un sistema o tota l'organització. No cal fer-ho tot d'una.

El nostre procés

1. GAP analysis — revisió de l'estat actual respecte als controls de l'Annex A de ISO 27001:2022
2. Definició d'abast — delimitació del SGSI: sistemes, processos i actius inclosos
3. Anàlisi de riscos — identificació, avaluació i tractament de riscos de seguretat
4. Declaració d'aplicabilitat (SoA) — document que justifica la inclusió o exclusió de cada control
5. Implementació de controls — mesures tècniques i organitzatives del pla de tractament
6. Auditoria interna — revisió prèvia a la certificació per detectar desviacions
7. Suport a l'auditoria de certificació — acompanyament durant l'auditoria de l'organisme certificador