La directiva NIS2 no va arribar amb molt de soroll a Espanya, pero les seves obligacions son reals i les sancions tambe. El problema es que moltes empreses no saben si els aplica, que han de fer exactament ni quant els costara. Aquesta guia ho aclareix.
Que implica la consultoria NIS2
La consultoria NIS2 no es una certificacio que obtens i emmarques. Es un proces continu d'implantacio i manteniment de mesures de ciberseguretat que la directiva exigeix a les entitats afectades. A diferencia de ISO 27001, NIS2 funciona mitjancant registre i supervisio per autoritats competents.
El que implica en la practica una consultoria NIS2:
- Determinar si la teva empresa esta obligada i en quina categoria (entitat essencial o important).
- Analisi de bretxes (GAP analysis) respecte als requisits de l'article 21 de NIS2.
- Implantar les mesures de seguretat tecniques i organitzatives requerides.
- Establir el proces de notificacio d'incidents (24h av铆s inicial, 72h informe complet, 30 dies informe final).
- Gestionar la seguretat de la cadena de subministrament.
- Registrar-se davant l'autoritat competent quan sigui obligatori.
- Formar l'organ de govern en ciberseguretat (NIS2 responsabilitza directament els consells d'administracio).
Qui esta obligat: entitats essencials i importants
| Categoria | Sectors inclosos | Sancio maxima |
|---|---|---|
| Entitats essencials | Energia, transport, banca, mercats financers, sanitat, aigua potable, aigues residuals, infraestructura digital, gestio de serveis IT, administracio publica, espai | 10M EUR o 2% facturacio global |
| Entitats importants | Serveis postals, gestio de residus, fabricacio critica, alimentacio, prove茂dors digitals (marketplaces, cercadors, xarxes socials) | 7M EUR o 1,4% facturacio global |
El llindar general es mes de 50 empleats o mes de 10 milions d'euros de facturacio en sectors afectats.
Que exigeix NIS2 tecnicament
L'article 21 de NIS2 enumera les mesures que han d'implantar les entitats afectades:
Marc documentat de gestio de riscos adaptat al perfil d'amena莽a del sector. Ha de reflectir els riscos especifics de l'organitzacio i estar actualitzat.
Proces de deteccio, resposta i notificacio d'incidents. NIS2 estableix terminis molt concrets: avis inicial a l'autoritat en 24 hores, informe complet en 72 hores, informe final en 30 dies.
Plans de contingencia provats i actualitzats. No n'hi ha prou amb tenir-los escrits: NIS2 espera que hagin estat exercitats i que els resultats estiguin documentats.
Avaluacio de la seguretat de prove茂dors i subcontractistes amb acces a sistemes o dades critiques. Un dels aspectes mes complexos de NIS2.
Gestio d'identitats, autenticacio multifactor (MFA) obligatoria per a accessos a sistemes critics, xifratge de dades en transit i en repos.
NIS2 responsabilitza directament els organs de govern. Exigeix que els membres d'aquests organs rebin formacio especifica en ciberseguretat. Aquesta formacio es bonificable amb credit FUNDAE.
Quant costa complir amb NIS2
| Mida empresa | Punt de partida | Cost orientatiu primer any | Manteniment anual |
|---|---|---|---|
| 50-150 empleats | Sense controls previs | 20.000 - 40.000 EUR | 8.000 - 15.000 EUR |
| 50-150 empleats | Amb ISO 27001 implantada | 10.000 - 20.000 EUR | 5.000 - 10.000 EUR |
| 150-500 empleats | Sense controls previs | 35.000 - 70.000 EUR | 15.000 - 30.000 EUR |
| 150-500 empleats | Amb ISO 27001 implantada | 15.000 - 35.000 EUR | 8.000 - 18.000 EUR |
Compara-ho amb les sancions: El cost de compliment per a una empresa mitjana es 20.000-40.000 EUR. La sancio maxima per incompliment per a una entitat essencial es 10.000.000 EUR o el 2% de la facturacio global. El ROI del compliment es evident.
El proces de compliment pas a pas
El primer pas es analitzar si la teva empresa supera els llindars de mida i si el sector d'activitat esta dins del per铆metre de la directiva.
Avaluacio de les mesures de seguretat existents respecte als requisits de NIS2. El resultat es un mapa de bretxes prioritzat per risc.
Pla de tancament de bretxes prioritzat per impacte i risc. Es pot comecar pels controls de major risc i distribuir la resta en un horitz贸 de 12-18 mesos.
MFA, gestio de vulnerabilitats, SIEM, politiques d'acces, xifratge, plans de continuitat, procediments de notificacio d'incidents, avaluacio de prove茂dors.
Un cop en vigor la llei espanyola, les entitats afectades hauran de registrar-se davant l'organisme supervisor corresponent (INCIBE per al sector privat, CCN per al public).
Terminis: quan entra en vigor NIS2 a Espanya
La directiva NIS2 tenia com a data limit de transposicio el 17 d'octubre de 2024. Espanya no va complir-lo. L'esborrany de la Llei de Coordinacio i Governanca de la Ciberseguretat esta en tramitacio parlamentaria a marc de 2026, sense data definitiva.
El retard no elimina el risc. La directiva es d'aplicacio directa en materies en que els estats membres no poden derogar les seves obligacions. Esperar que "sigui definitiva" es una estrategia d'alt risc. Arrancar el proces de compliment ara dona un avantatge important quan la llei entri en vigor.
NIS2, ISO 27001 i ENS: com es relacionen
L'estrategia mes eficient per a una empresa en sector critic que tambe treballa amb el sector public: implantar ISO 27001 primer (base tecnica comuna), certificar ENS usant aquell SGSI com a base, i completar els requisits especifics de NIS2 sobre aquella estructura ja constru茂da. Tres marcs de compliment, un sol proces organitzat.
Avaluacio NIS2 gratuita
Si no tens clar si NIS2 aplica a la teva empresa, en quina categoria entres o quant falta per complir, fem una avaluacio inicial sense cost. En una sessio: ambit d'aplicacio, GAP basic i pressupost orientatiu.
Sol路licitar avaluacio gratuitaPreguntes frequents
Quant costa complir amb NIS2?
Per a una empresa mitjana de 50-150 empleats en sector critic sense controls previs, el rang orientatiu es 20.000-40.000 EUR el primer any. Amb ISO 27001 ja implantada, pot reduir-se a 10.000-20.000 EUR. El manteniment anual sol estar entre 8.000 i 15.000 EUR.
Quan entra en vigor NIS2 a Espanya?
La transposicio havia d'estar llesta a l'octubre del 2024. Espanya va amb retard. L'esborrany de la llei esta en tramitacio parlamentaria a marc de 2026, sense data definitiva. El retard no elimina l'obligacio.
ISO 27001 es suficient per a NIS2?
No, pero cobreix el 60-70% del treball. ISO 27001 no inclou els requisits especifics de NIS2: notificacio d'incidents en 24/72 hores, responsabilitat de l'organ de govern, registre davant l'autoritat competent i gestio especifica de cadena de subministrament.
Quines son les sancions de NIS2?
Per a entitats essencials: fins a 10 milions d'euros o el 2% de la facturacio global anual. Per a entitats importants: fins a 7 milions o l'1,4% de la facturacio. NIS2 tambe estableix responsabilitat personal dels directius en casos de negligencia greu.