NIS2 + DORA: Verificació d'Identitat per a Infraestructures Crítiques (CA)

Dues regulacions de la UE estan remodelant la manera com les organitzacions essencials i financeres es defensen. NIS2 (la segona Directiva sobre la seguretat de les xarxes i els sistemes d'informació) eleva el nivell de referència de la ciberseguretat en sectors crítics i importants: energia, transport, salut, infraestructura digital i altres. DORA (la Llei de Resiliència Operativa Digital) fa el mateix específicament per al sector financer, amb un enfocament nítid en el risc de les Tecnologies de la Informació i la Comunicació (TIC) i els tercers dels quals depenen les entitats financeres.

Aborden el problema des de diferents angles, però convergeixen en els mateixos controls: saber qui té accés, provar les identitats rigorosament i gestionar el risc que introdueixen els vostres proveïdors. La prova d'identitat es troba al centre de tots tres. Aquesta publicació explica què requereixen NIS2 i DORA, per què la identitat és fonamental i com Didit —tant com a motor de verificació com a proveïdor certificat— us ajuda a complir-los.

Punts clau

• NIS2 exigeix mesures de gestió de riscos, control d'accés fort i seguretat de la cadena de subministrament en sectors essencials i importants.
• DORA regula el risc TIC en els serveis financers, incloent un registre de proveïdors TIC de tercers i una gestió rigorosa del risc dels proveïdors.
• Ambdós règims es basen en gran mesura en la prova d'identitat i el control d'accés: no es pot protegir un sistema sense respostes fiables a la pregunta "qui és aquesta persona?".
• Didit proporciona una prova d'identitat d'alta seguretat —verificació de documents, NFC, prova de vida, coincidència biomètrica facial— per a l'incorporació d'empleats, contractistes i clients d'alt valor.
• Com a tercer TIC, Didit redueix la vostra càrrega de risc de proveïdors amb certificacions concretes: SOC 2 Tipus 1 (ATOM, a partir del 09/04/2026), ISO/IEC 27001:2022 (Bureau Veritas, cert núm. ES144068, vàlid fins al 03/06/2027) i iBeta Nivell 1 PAD.
• Les pistes d'auditoria basades en webhook (status.updated, data.updated) us proporcionen les proves que ambdós règims esperen.

Què exigeixen les normes

NIS2 amplia l'abast de la directiva original a molts més sectors i endureix les obligacions. Entre els seus requisits principals: mesures de gestió de riscos de ciberseguretat proporcionades al risc, gestió i notificació d'incidents, planificació de la continuïtat del negoci i —crític per a la identitat— polítiques de control d'accés, l'ús d'autenticació multifactor o contínua quan sigui apropiat, i seguretat de la cadena de subministrament que tingui en compte la seguretat dels proveïdors directes i dels proveïdors de serveis. Els òrgans de gestió són responsables, i les autoritats de supervisió poden actuar quan els controls no són suficients.

DORA centra l'atenció en les entitats financeres i la seva resiliència davant les interrupcions de les TIC. Estableix requisits en cinc pilars: gestió del risc TIC, notificació d'incidents, proves de resiliència operativa digital, intercanvi d'informació i gestió del risc de tercers TIC. Aquest darrer pilar és el que afecta tots els proveïdors: les entitats financeres han de mantenir un registre d'informació sobre tots els acords amb tercers TIC, avaluar el risc que introdueix un proveïdor abans i durant la relació, i assegurar que hi hagi provisions contractuals i de supervisió. Un control d'identitat i accés sòlid sustenta els pilars de gestió de riscos i proves de resiliència.

El fil conductor: no es pot demostrar la resiliència operativa o la seguretat de la xarxa si no es pot establir de manera fiable la identitat, tant de les persones que accedeixen als sistemes com dels proveïdors de la vostra cadena.

Per què és important

La infraestructura crítica és precisament on es concentren els atacants, perquè el radi d'explosió és més gran. NIS2 i DORA existeixen perquè els reguladors han observat incidents en un sol proveïdor que es propaguen en interrupcions, bretxes i risc sistèmic. Les sancions ho reflecteixen: multes significatives, responsabilitat de la direcció i intervenció supervisora.

Per a la identitat específicament, es repeteixen dues maneres de fallada. Primer, la prova feble: permetre que una identitat fraudulenta o suplantada passi per l'incorporació o la recuperació del compte, cosa que es converteix en una fallada de control d'accés més tard. Segon, el risc de tercers no gestionat: dependre d'un proveïdor (com un proveïdor d'identitat) la postura de seguretat del qual no es pot demostrar. Ambdós règims us obliguen a tancar aquestes bretxes i a mantenir registres que demostrin que ho heu fet.

Com ajuda Didit

Didit aborda ambdues cares de l'equació d'identitat sota NIS2 i DORA.

Com a capa de prova d'identitat:

• Verificació d'alta seguretat per a l'incorporació de clients, empleats i contractistes: verificació de documents en més de 14.000 tipus de documents (0,15 $), lectura de xips NFC (0,15 $), prova de vida passiva (0,10 $) i activa (0,15 $) i Face Match 1:1 (0,05 $).
• Biometria resistent a atacs — Detecció d'Atacs de Presentació (PAD) provada segons iBeta Nivell 1 (ISO/IEC 30107-3) amb un 0% d'èxit d'atac en 360 intents — el tipus de prova en què s'han de basar les polítiques de control d'accés.
• Cribratge AML i de sancions (0,20 $, més de 1.300 llistes) i supervisió contínua (0,07 $/usuari/any) quan les relacions regulades ho exigeixen.
• Orquestració composable mitjançant el Workflow Builder sense codi, de manera que apliqueu controls proporcionats al risc.

Com a tercer TIC certificat — facilitant el vostre registre DORA i les obligacions de la cadena de subministrament NIS2:

• Certificació SOC 2 Tipus 1 per ATOM, que cobreix Seguretat, Disponibilitat i Confidencialitat, a partir del 09/04/2026 (informe complet d'ús restringit sota NDA).
• Certificació ISO/IEC 27001:2022 per Bureau Veritas, cert núm. ES144068, vàlida fins al 03/06/2027 — prova distribuïble d'un sistema de gestió de seguretat de la informació certificat.
• Carta de conformitat iBeta Nivell 1 PAD — distribuïble, per a la seguretat del control biomètric.

Aquests proporcionen els artefactes que els vostres equips de contractació i risc necessiten quan avaluen Didit com a proveïdor en el vostre registre de tercers TIC.

Aprofundint: la identitat en el registre de tercers DORA

Segons DORA, cada acord amb un tercer TIC s'inclou en un registre d'informació que el vostre supervisor pot sol·licitar. Per a cada proveïdor, s'espera que entengueu la funció que admet, la criticitat d'aquesta funció i el risc que introdueix el proveïdor, tot això recolzat per proves.

Quan el proveïdor és el vostre proveïdor de verificació d'identitat, l'evidència que voleu és exactament el que Didit pot subministrar: una certificació SOC 2 independent que descriu el disseny dels seus controls, un certificat ISO/IEC 27001 que demostra un sistema de gestió de seguretat de la informació gestionat i un resultat biomètric iBeta que quantifica el rendiment anti-spoofing. Combineu-los amb la pista d'auditoria basada en webhook de Didit —esdeveniments status.updated i data.updated que registren el cicle de vida de cada verificació— i tindreu tant la garantia a nivell de proveïdor per al registre com els registres a nivell de transacció per a les proves de resiliència i la investigació d'incidents.

Aquesta combinació converteix un proveïdor que podria ser un element de risc en un que escurça el vostre cicle de diligència deguda.

Casos d'ús

• Bancs, EMIs i institucions de pagament que delimiten el risc de tercers TIC de DORA per a la seva pila d'identitat.
• Proveïdors de serveis de criptoactius dins l'àmbit del sector financer de DORA.
• Operadors de serveis essencials (energia, transport, salut, infraestructura digital) sota NIS2 que reforcen el control d'accés i la seguretat de la cadena de subministrament.
• Proveïdors de serveis gestionats que han de demostrar la seguretat de les eines d'identitat que implementen per als clients.

Preguntes freqüents

NIS2 i DORA s'apliquen a les mateixes organitzacions?

No exactament. NIS2 cobreix entitats essencials i importants en molts sectors; DORA cobreix entitats financeres i els seus proveïdors TIC. Moltes organitzacions financeres es troben sota ambdues, i els controls se superposen en gran mesura.

La verificació d'identitat és realment requerida per aquestes normes?

Les normes exigeixen un control d'accés fort, gestió de riscos i supervisió de tercers. Una prova d'identitat fiable és fonamental per a tots tres: no es pot aplicar el control d'accés ni examinar els usuaris d'un proveïdor sense ella.

Què proporciona Didit per al registre de tercers TIC de DORA?

Didit pot subministrar proves SOC 2 Tipus 1, ISO/IEC 27001:2022 (cert ES144068) i iBeta Nivell 1 PAD, a més de pistes d'auditoria basades en webhook, els artefactes que el vostre equip de risc necessita per avaluar i documentar Didit com a proveïdor.

El SOC 2 de Didit és de Tipus 1 o Tipus 2?

És una certificació Tipus 1 (disseny de controls a partir del 09/04/2026). S'està planejant un examen de Tipus 2. L'informe complet és d'ús restringit i es comparteix sota NDA.

Puc obtenir el certificat ISO 27001 per compartir-lo internament?

Sí, el certificat ISO/IEC 27001:2022 (Bureau Veritas, cert núm. ES144068) és distribuïble a petició.

A punt per començar?

Consulteu les certificacions i la postura de seguretat de Didit al centre de confiança, exploreu el producte de verificació d'identitat i reviseu els preus transparents a la pàgina de preus. Quan estigueu a punt, comenceu gratuïtament: 500 comprovacions KYC gratuïtes cada mes, amb un flux de verificació bàsic a partir de 0,33 $.