La ciberseguretat ha deixat de ser un assumpte exclusivament tècnic per convertir-se en una responsabilitat de l'alta direcció, amb sancions de fins a 10 milions d'euros o el 2% de la facturació global. Aquest canvi té nom: Directiva NIS2, la nova norma europea que obliga milers d'empreses de sectors estratègics a elevar el seu nivell de ciberseguretat. Tot i que Espanya encara no ha completat la seva transposició, la NIS2 ja actua com a marc de referència de facto. Aquesta guia explica que és, a qui s'aplica, quines obligacions imposa i com preparar-se.
Que és la Directiva NIS2
La Directiva NIS2 és la Directiva (UE) 2022/2555 del Parlament Europeu i del Consell, de 14 de desembre de 2022, sobre mesures per a un alt nivell comú de ciberseguretat a tota la Unió Europea. Substitueix i amplia l'anterior Directiva NIS de 2016, ampliant el seu abast a molts més sectors, endurint els requisits i introduint mesures d'execució i sancions molt més severes.
El seu objectiu és harmonitzar la ciberseguretat de les infraestructures i serveis essencials de la UE, reduint la fragmentació entre estats membres. A la pràctica, la NIS2 trasllada la ciberseguretat del departament d'IT al consell d'administració: la direcció passa a ser formalment responsable d'aprovar i supervisar les mesures, amb conseqüències personals en cas d'incompliment.
A quines empreses s'aplica la NIS2? Entitats essencials i importants
La NIS2 s'aplica a entitats de 18 sectors estratègics, dividits en dos annexos, i a les organitzacions que superin el llindar de mitjana empresa: almenys 50 empleats o 10 milions d'euros de facturació anual, amb excepcions que inclouen certes pimes en sectors especialment crítics.
La directiva classifica les organitzacions cobertes en dues categories:
| Categoria | Sectors | Supervisió |
|---|---|---|
| Entitats essencials (EE) | 11 sectors de l'Annex I (energia, transport, banca, sanitat, aigua, infraestructura digital, administració pública...) | Més estricta: supervisió proactiva |
| Entitats importants (IE) | 7 sectors de l'Annex II (serveis postals, gestió de residus, fabricació, alimentació, proveïdors digitals...) | Supervisió reactiva, davant indicis d'incompliment |
La diferència pràctica és rellevant: les entitats essencials estan subjectes a un control de compliment més estricte i proactiu, mentre que les importants es supervisen principalment quan hi ha indicis d'incompliment. Un punt clau que moltes empreses passen per alt: tot i que la vostra organització no estigui directament en un d'aquests sectors, podeu estar obligades de facto si formeu part de la cadena de subministrament d'una entitat que sí que hi és.
Obligacions clau: gestió de riscos i notificació d'incidents
La NIS2 s'articula al voltant de dos grans blocs d'obligacions. El primer és la gestió de riscos de ciberseguretat: les entitats han de realitzar una anàlisi periòdica i documentada dels riscos i implantar mesures tècniques i organitzatives proporcionades. Aquestes mesures inclouen, entre d'altres, polítiques de seguretat, gestió d'incidents, continuïtat de negoci, seguretat de la cadena de subministrament, xifrat i control d'accessos.
El segon bloc és la notificació d'incidents significatius a l'autoritat competent —a Espanya, a través de l'INCIBE-CERT— en terminis escalonats:
| Termini | Que cal comunicar |
|---|---|
| 24 hores (alerta primerenca) | Alerta inicial mínima: si se sospita que l'incident és maliciós i si pot tenir impacte transfronterer |
| 72 hores (notificació) | Anàlisi preliminar: causa probable, abast confirmat, dades compromeses i accions correctives en curs |
| 1 mes (informe final) | Anàlisi forense complet, causa arrel, mesures implantades i lliçons apreses |
A tot això s'afegeix una tercera obligació transversal: la seguretat de la cadena de subministrament, que obliga a avaluar i exigir garanties de ciberseguretat als proveïdors i contractistes.
Sancions i responsabilitat de la direcció
Aquí és on la NIS2 marca la diferència respecte a normatives anteriors. Les sancions econòmiques són significatives i es graduen segons el tipus d'entitat:
- Entitats essencials: fins a 10 milions d'euros o el 2% del volum de negoci anual total a escala mundial, el que sigui major.
- Entitats importants: fins a 7 milions d'euros o l'1,4% de la facturació global, el que sigui major.
Però les multes no són l'únic. Les autoritats poden suspendre temporalment certificacions o autoritzacions, prohibir l'exercici de funcions directives a les persones responsables de l'incompliment (inhabilitació), publicar la sanció de manera nominativa —amb el consegüent impacte reputacional— i imposar multes coercitives diàries fins a aconseguir el compliment.
La gran novetat de la NIS2 és la responsabilitat personal dels directius: ja no n'hi ha prou amb delegar la ciberseguretat en l'equip tècnic. El consell ha d'aprovar les mesures, supervisar-les i formar-se en la matèria, perquè en respon.
Convé mirar més enllà de la multa. El cost real d'un incompliment —o d'un incident mal gestionat— rarament es limita a la sanció econòmica: inclou la interrupció de l'activitat, la pèrdua de contractes amb clients que exigeixen garanties de seguretat, el dany reputacional d'una sanció publicada de manera nominativa i, cada vegada més, la dificultat d'accedir a assegurances de ciberrisc en condicions raonables. Vist així, invertir a complir la NIS2 no és una despesa regulatòria, sinó una manera de protegir la continuïtat i la reputació del negoci. Les organitzacions que ho entenen com una millora de la seva resiliència —i no com una casella que marcar— són les que obtenen un retorn real de l'esforç.
La NIS2 a Espanya: estat de la transposició el 2026
Convé ser precisos, perquè hi ha molta confusió al respecte. El termini límit per transposar la NIS2 a l'ordenament nacional era el 17 d'octubre de 2024, i Espanya no el va complir. La Comissió Europea va obrir un procediment d'infracció i, el 2025, va elevar el cas al Tribunal de Justícia de la UE, juntament amb altres estats membres també endarrerits.
A data del 2026, la situació és de transposició parcial i en curs: Espanya ha avançat mitjançant el Real Decreto-ley 7/2025 i té en tramitació l'Avantprojecte de Llei de Coordinació i Governança de la Ciberseguretat, aprovat pel Consell de Ministres el gener de 2025 i encara pendent de debat parlamentari. Aquest avantprojecte crea un Centre Nacional de Ciberseguretat (CNC) com a òrgan de direcció i coordinació de la política nacional i punt de contacte únic davant la UE i l'ENISA.
La conclusió pràctica per a les empreses és clara: tot i que el marc legal nacional no estigui tancat, la NIS2 ja opera com a referència de facto. Reguladors, operadors d'infraestructures crítiques i grans empreses industrials prenen decisions basades en els seus principis, i esperar la llei definitiva per començar a preparar-se és un error de càlcul. Verifiqueu sempre l'estat actualitzat de la normativa, perquè el calendari legislatiu pot canviar.
NIS2 davant l'antiga Directiva NIS: que canvia
Entendre que aporta la NIS2 respecte a la seva predecessora ajuda a dimensionar l'esforç. La NIS original de 2016 va ser el primer intent d'harmonitzar la ciberseguretat europea, però es va quedar curta: cobria pocs sectors, deixava molt marge d'interpretació a cada estat i gairebé no tenia capacitat sancionadora. La NIS2 corregeix aquestes mancances en quatre fronts:
- Més abast. Passa d'un grapat d'operadors de serveis essencials a 18 sectors i milers d'entitats, incloent-hi mitjanes empreses que abans quedaven fora.
- Requisits més concrets. Defineix un conjunt mínim de mesures de gestió de riscos, en lloc de principis genèrics.
- Sancions reals. Introdueix multes equiparables a les del RGPD i, sobretot, la responsabilitat personal de la direcció.
- Cadena de subministrament. Obliga a tenir en compte la seguretat dels proveïdors, quelcom pràcticament absent a la norma anterior.
En resum, la NIS2 converteix recomanacions en obligacions exigibles, amb conseqüències tangibles per a qui no compleixi.
Com preparar-se per a la NIS2 pas a pas
Adaptar-se a la NIS2 és un projecte ordenat, no una cursa d'última hora. Un full de ruta realista segueix aquests passos:
- Determineu si esteu subjectes. Analitzeu el vostre sector, mida i posició a la cadena de subministrament d'entitats obligades. El dubte raonable ja és motiu suficient per començar a preparar-se, perquè l'àmbit d'aplicació és més ampli del que moltes empreses suposen.
- Realitzeu una anàlisi de bretxes. Compareu les vostres mesures actuals amb els requisits de la directiva i identifiqueu les mancances.
- Implanteu mesures tècniques i organitzatives proporcionades al risc: gestió d'incidents, continuïtat, control d'accessos, xifrat i seguretat de proveïdors.
- Establiu el procés de notificació d'incidents amb els terminis de 24 i 72 hores, i assigneu responsables clars.
- Impliqueu la direcció. Formeu el consell i definiu el seu paper en l'aprovació i supervisió de les mesures, perquè la responsabilitat és seva.
A Technova Partners ajudem les empreses a abordar aquest recorregut amb criteri, connectant el compliment amb una estratègia de ciberseguretat sostenible. Podeu començar per la nostra guia de ciberseguretat per a empreses i, si la vostra organització també usa IA, per la regulació de la IA i l'AI Act a Espanya, una normativa complementària.
Preguntes freqüents sobre la Directiva NIS2
La meva empresa està obligada a complir la NIS2? Depèn del vostre sector i mida. S'aplica a entitats de 18 sectors estratègics que superin el llindar de mitjana empresa (50 empleats o 10 milions d'euros de facturació), amb excepcions per a pimes en sectors crítics. A més, podeu veure-us afectats indirectament si sou proveïdors d'una entitat obligada.
Que passa si Espanya encara no ha acabat la transposició? Tot i que la llei nacional no estigui tancada, la directiva ja marca l'estàndard i els grans operadors l'apliquen de facto. Preparar-se ara redueix el risc i el cost d'adaptar-se a contrarellotge quan la norma entri plenament en vigor.
Quin és el termini per notificar un incident? Tres fites: una alerta primerenca en 24 hores, una notificació detallada en 72 hores i un informe final en el termini d'un mes des de la detecció de l'incident significatiu.
Qui és responsable del compliment dins de l'empresa? L'alta direcció. La NIS2 estableix que els òrgans de direcció han d'aprovar i supervisar les mesures de ciberseguretat, i poden ser inhabilitats en cas d'incompliment greu. La ciberseguretat deixa de ser només cosa del departament tècnic.
Quina relació té la NIS2 amb la ISO 27001? Són complementàries. La ISO 27001 és un estàndard de gestió de la seguretat de la informació que, ben implementat, cobreix bona part de les mesures tècniques i organitzatives que la NIS2 exigeix. Tenir un sistema de gestió basat en la ISO 27001 facilita enormement demostrar el compliment de la directiva, tot i que no el substitueix automàticament.
Afecta la NIS2 la meva empresa si només soc proveïdor d'una entitat obligada? Sí, indirectament. La NIS2 dona molta importància a la seguretat de la cadena de subministrament, de manera que les entitats obligades traslladen requisits de ciberseguretat als seus proveïdors per contracte. Tot i que la vostra empresa no estigui directament en l'àmbit de la norma, pot acabar havent de complir requisits equivalents per mantenir els seus clients.
Conclusió
La Directiva NIS2 redefineix la ciberseguretat com una obligació de governança amb conseqüències reals. Resumint:
- S'aplica a 18 sectors estratègics i a empreses que superin el llindar de mitjana empresa, a més de la seva cadena de subministrament.
- Imposa gestió de riscos i notificació d'incidents en terminis de 24 hores, 72 hores i un mes.
- Les sancions arriben als 10 milions d'euros o el 2% de la facturació global, amb responsabilitat personal de la direcció.
- A Espanya la transposició està en curs el 2026, però la NIS2 ja opera com a referència de facto: esperar no és una opció.
El moment de començar no és quan es publiqui la llei definitiva ni quan arribi el primer requeriment d'un client, sinó abans: la ciberseguretat sòlida es construeix amb temps, no a contrarellotge. Voleu saber si la vostra empresa està subjecta a la NIS2 i preparar un pla de compliment realista? Parleu amb el nostre equip i us ajudarem a convertir l'obligació en una ciberseguretat més sòlida i en un avantatge davant la vostra competència.
