Si la teva empresa te mes de 50 empleats o factura mes de 10 milions d'euros, la directiva NIS2 probablement t'afecta. I si operes en sectors com sanitat, energia, transport, banca, infraestructura digital o industria alimentaria, es gairebe segur.
La Directiva (UE) 2022/2555, coneguda com NIS2, va entrar en vigor el gener de 2023 amb termini de transposicio per als Estats membres fins al 17 d'octubre de 2024. Espanya no va arribar a temps. El Consell de Ministres va aprovar un Avantprojecte de Llei de Coordinacio i Governanca de la Ciberseguretat el gener de 2025, pero la llei definitiva encara no esta publicada. S'espera la seva entrada en vigor al llarg de 2026.
Aixo no significa que puguis esperar. Significa que tens una finestra que es tanca. Quan la llei es publiqui, els terminis de compliment seran curts i les sancions, considerables.
Dada clau: NIS2 amplia l'abast de l'antiga directiva NIS1 de forma radical. Es calcula que el nombre d'entitats afectades a la UE passa d'unes 15.000 a mes de 160.000. A Espanya, milers d'empreses que abans estaven fora de l'abast ara hi son dins.
Que es la directiva NIS2
NIS2 es la segona versio de la directiva europea de seguretat de xarxes i sistemes d'informacio. Substitueix la NIS1 (2016) i neix amb un objectiu clar: elevar el nivell de ciberseguretat a tota la UE de forma homogenia.
La primera directiva tenia problemes. Cada pais la va transposar de forma diferent, amb criteris diferents per decidir qui estava dins de l'abast. El resultat va ser un mosaic regulatori que deixava forats enormes. NIS2 corregeix aixo amb tres canvis fonamentals:
- Abast molt mes ampli. Mes sectors, mes tipus d'entitats, criteris d'inclusio clars basats en mida.
- Obligacions mes concretes. Ja no es un "aplica mesures adequades". NIS2 especifica quines mesures i quins processos han d'existir.
- Sancions reals. Multes de fins a 10 milions d'euros o el 2% de la facturacio global per a entitats essencials. I responsabilitat directa per a la direccio.
A qui afecta a Espanya
NIS2 classifica les entitats en dues categories:
| Categoria | Sectors | Criteri de mida |
|---|---|---|
| Entitats essencials (Annex I) | Energia, transport, banca, infraestructura de mercats financers, sanitat, aigua potable, aigues residuals, infraestructura digital, gestio serveis TIC (B2B), Administracio Publica, espai | Grans empreses (>250 empleats o >50M facturacio) |
| Entitats importants (Annex II) | Serveis postals, gestio residus, fabricacio (quimica, alimentaria, dispositius medics, electronica, maquinaria, vehicles), proveidors digitals (marketplaces, cercadors, xarxes socials), investigacio | Mitjanes empreses (>50 empleats o >10M facturacio) |
Si la teva empresa cau en algun d'aquests sectors i supera els llindars de mida, hi ets dins. No necessites registrar-te enlloc ni esperar que et notifiquin. L'obligacio es automatica pel tipus d'activitat i la mida.
Atencio PIMEs: Encara que el criteri general es 50+ empleats o 10M+ de facturacio, hi ha excepcions. Algunes entitats hi entren independentment de la seva mida: proveidors de serveis DNS, registres de dominis TLD, proveidors de serveis de confianca i proveidors de xarxes publiques de comunicacions electroniques. Si la teva empresa presta algun d'aquests serveis, NIS2 t'aplica encara que tinguis 5 empleats.
Obligacions principals
NIS2 estructura les obligacions en tres blocs fonamentals: governanca, gestio de riscos i notificacio d'incidents.
1. Governanca (Article 20)
Els organs de direccio han de:
- Aprovar les mesures de gestio de riscos de ciberseguretat.
- Supervisar la seva implementacio.
- Rebre formacio especifica en ciberseguretat. No n'hi ha prou amb delegar en el departament de IT.
- Assumir responsabilitat personal si hi ha incompliment. NIS2 introdueix la responsabilitat directa dels directius.
Aixo es un canvi de paradigma. Fins ara, la ciberseguretat era "cosa d'IT". Amb NIS2, es responsabilitat del consell d'administracio.
2. Gestio de riscos de ciberseguretat (Article 21)
Les entitats han d'implementar mesures tecniques, operatives i organitzatives per gestionar els riscos de seguretat. L'article 21 es especific:
Politiques d'analisi de riscos i seguretat dels sistemes d'informacio
Gestio d'incidents
Continuitat de negoci i gestio de crisis
Incloent copies de seguretat, recuperacio davant desastres i gestio de crisis.
Seguretat de la cadena de subministrament
Avaluacio de proveidors amb acces a sistemes critics. Aixo inclou proveidors de programari, cloud i serveis gestionats.
Seguretat en l'adquisicio, desenvolupament i manteniment de xarxes i sistemes
Incloent gestio i divulgacio de vulnerabilitats.
Politiques i procediments per avaluar l'eficacia de les mesures
Practiques basiques de ciber-higiene i formacio en ciberseguretat
Politiques d'us de criptografia i xifrat
Seguretat de recursos humans, control d'acces i gestio d'actius
Autenticacio multifactor (MFA) i comunicacions segures
No es una llista de bones intencions. Son requisits que han d'estar documentats, implementats i auditables.
3. Notificacio d'incidents (Article 23)
Quan es produeix un incident significatiu, l'entitat ha de:
24h
Alerta primerenca al CSIRT o autoritat competent des que es te coneixement de l'incident
72h
Notificacio de l'incident amb avaluacio inicial de gravetat i impacte
1 mes
Informe final amb descripcio detallada, causa arrel, mesures de mitigacio i impacte transfronterer
Un incident es considera "significatiu" si causa o pot causar pertorbacions operatives greus o perdues financeres per a l'entitat, o si afecta o pot afectar altres persones fisiques o juridiques en causar danys materials o immaterials considerables.
Calendari i transposicio a Espanya
El calendari ha estat accidentat:
16 de gener de 2023
NIS2 entra en vigor a nivell europeu.
17 d'octubre de 2024
Termini limit per a la transposicio nacional. Espanya no hi arriba.
Gener 2025
El Consell de Ministres aprova l'Avantprojecte de Llei de Coordinacio i Governanca de la Ciberseguretat.
2026 (previst)
Entrada en vigor de la llei nacional que transposa NIS2. Els terminis de compliment comencaran a comptar des d'aquesta data.
No esperis a la llei. El fet que Espanya vagi amb retard no et protegeix. La Comissio Europea ja ha obert procediments d'infraccio contra els Estats que no han transposat a temps. I quan la llei es publiqui, els terminis d'adaptacio seran curts. Les empreses que ja tenen implementades les mesures de l'article 21 partiran amb avantatge. Les que no, hauran de correr.
Sancions: fins a 10 milions d'euros
NIS2 introdueix un regim sancionador serios:
| Tipus d'entitat | Sancio maxima |
|---|---|
| Entitats essencials | Fins a 10 milions EUR o el 2% de la facturacio global anual (la mes gran de les dues xifres) |
| Entitats importants | Fins a 7 milions EUR o el 1,4% de la facturacio global anual (la mes gran de les dues xifres) |
Pero les sancions economiques no son l'unic. NIS2 tambe contempla:
- Suspensio temporal de certificacions o autoritzacions de l'entitat.
- Prohibicio temporal d'exercici per a directius responsables.
- Auditories de seguretat obligatories ordenades per l'autoritat competent.
- Publicacio d'incompliments. L'autoritat pot fer publiques les infraccions, amb el dany reputacional que aixo comporta.
La responsabilitat de la direccio es nova i significativa. Els directius no poden simplement delegar la ciberseguretat i oblidar-se'n. Han d'aprovar les mesures, supervisar-les i, si no ho fan, poden ser sancionats personalment.
Diferencies entre NIS1 i NIS2
| Aspecte | NIS1 (2016) | NIS2 (2022) |
|---|---|---|
| Abast | ~15.000 entitats a la UE | ~160.000+ entitats a la UE |
| Sectors | 7 sectors | 18 sectors (11 essencials + 7 importants) |
| Criteri d'inclusio | Designacio per cada Estat | Automatic per mida i sector |
| Mesures de seguretat | Generiques ("mesures adequades") | 10 mesures especifiques obligatories |
| Cadena de subministrament | No regulada | Avaluacio obligatoria de proveidors |
| Notificacio d'incidents | "Sense demora indeguda" | 24h alerta + 72h notificacio + 1 mes informe |
| Sancions | Les que decideixi cada Estat | Fins a 10M EUR / 2% facturacio |
| Responsabilitat directiva | No | Si, personal i directa |
Com preparar la teva empresa
No necessites esperar que es publiqui la llei nacional. Les obligacions estan clares a la directiva europea. Aixo es el que pots fer ara:
Determina si ets dins de l'abast
Revisa els Annexos I i II de la directiva. Creua el sector de la teva empresa amb els criteris de mida (50+ empleats o 10M+ facturacio). Si hi caus dins, segueix llegint. Si tens dubtes, consulta amb un especialista.
Fes una analisi de bretxes (gap analysis)
Compara les 10 mesures de l'article 21 amb el que ja tens implementat. Identifica on ets fort i on tens buits. Si ja tens ISO 27001 o ENS, moltes mesures ja estaran cobertes, pero no totes.
Avalua la teva cadena de subministrament
Identifica els proveidors critics amb acces als teus sistemes o dades. Avalua el seu nivell de ciberseguretat. Estableix requisits contractuals minims. Aixo es nou respecte a NIS1 i moltes empreses encara no ho han abordat.
Implementa un pla de resposta a incidents
Necessites un proces documentat i provat per detectar, classificar, notificar i respondre a incidents en els terminis de NIS2 (24h + 72h + 1 mes). Inclou simulacres regulars.
Forma el teu equip directiu
NIS2 exigeix que la direccio rebi formacio en ciberseguretat i supervisi les mesures. No n'hi ha prou que el CISO sapiga que passa. Els directius han d'entendre els riscos i aprovar les mesures formalment.
Realitza una auditoria de ciberseguretat
Un pentesting extern i una auditoria de seguretat et donaran una foto real de la teva postura de ciberseguretat. Millor descobrir les vulnerabilitats tu que les descobreixi un atacant o un inspector.
NIS2 i ISO 27001: com es complementen
Si la teva empresa ja te ISO 27001 certificada, estas en bona posicio. Hi ha un solapament significatiu entre els controls de ISO 27001:2022 i les mesures de l'article 21 de NIS2. Pero no es una equivalencia total.
El que ISO 27001 ja cobreix:
- Analisi de riscos i sistema de gestio de seguretat de la informacio (SGSI).
- Gestio d'incidents.
- Continuitat de negoci.
- Control d'acces i gestio d'actius.
- Criptografia.
- Seguretat de recursos humans.
El que NIS2 afegeix i pot requerir ajustos:
- Seguretat de la cadena de subministrament amb avaluacio formal de proveidors (mes especifica que ISO 27001 A.15).
- Terminis de notificacio rigids (24h/72h/1 mes) que requereixen processos i contactes preestablerts amb el CSIRT nacional.
- Responsabilitat de la direccio amb formacio obligatoria per a directius.
- MFA obligatoria quan sigui apropiat.
A Delbion treballem amb empreses que ja tenen ISO 27001 per fer el gap analysis especific contra NIS2 i tancar els buits. Tambe ajudem a les que parteixen de zero a implementar un SGSI que cobreixi ambdues normatives de cop.
Avantatge competitiu: Les empreses que ja compleixen amb NIS2 abans que la llei entri en vigor podran demostrar-ho a clients i socis. En sectors regulats com sanitat, banca o industria, aixo es converteix en un diferenciador comercial. "Complim amb NIS2" sera el nou "complim amb RGPD".
Auditoria de Ciberseguretat
Saps si la teva empresa compleix amb NIS2?
Fem una analisi de bretxes contra les 10 mesures de l'article 21 de NIS2 i t'entreguem un informe amb el teu nivell de compliment, els gaps critics i un pla d'accio prioritzat. Si ja tens ISO 27001, podem fer el gap analysis especific.
Sol路licitar Auditoria NIS2 →