Normativa
Normativa
Directiva NIS2: noves obligacions de ciberseguretat per a empreses
BY TECNOCIM INNOVA PUBLISHED ON 3 DE MAIG DEL 2026
Multes de fins a 10 milions d'euros o el 2% de la facturació global. La Directiva NIS2 (Directiva 2022/2555) imposa les obligacions de ciberseguretat més exigents de la història de la UE, ampliant l'abast de 7 a 18 sectors i afectant totes les empreses mitjanes i grans d'aquests sectors.
Espanya porta més de 16 mesos de retard en la transposició. L'Avantprojecte de Llei de Coordinació i Governança de la Ciberseguretat va ser aprovat pel Consell de Ministres el gener de 2025, però segueix pendent de tramitació parlamentària. La Comissió Europea ja ha enviat un dictamen motivat a Espanya per aquest retard (maig 2025). Mentrestant, les obligacions de la directiva són d'aplicació directa en molts aspectes.
Què és la Directiva NIS2 i per què importa a la teva empresa?
La NIS2 substitueix l'anterior Directiva NIS (2016) i eleva radicalment el nivell d'exigència en ciberseguretat per a empreses i organitzacions europees. Els canvis principals són:
- Més sectors: de 7 a 18 sectors obligats
- Més empreses: totes les mitjanes i grans d'aquests sectors, no només operadors crítics
- Més obligacions: mesures tècniques i organitzatives concretes, amb terminis de notificació estrictes
- Més sancions: multes equiparables a les del RGPD, amb responsabilitat personal dels directius
La directiva respon a un context d'amenaces creixents: els ciberatacs a empreses europees s'han multiplicat, i la dependència digital fa que un incident en una empresa pugui afectar tota la seva cadena de valor.
A quines empreses afecta la NIS2? Sectors i llindars
La NIS2 classifica els sectors en dues categories i les empreses en dos nivells d'obligació:
Sectors d'alta criticitat (Annex I)
- Energia (electricitat, petroli, gas, hidrogen, calefacció)
- Transport (aeri, ferroviari, marítim, per carretera)
- Banca i infraestructures de mercats financers
- Sector sanitari
- Aigua potable i aigües residuals
- Infraestructura digital (DNS, IXP, cloud, centres de dades)
- Gestió de serveis TIC (B2B)
- Administració pública
- Espai
Altres sectors crítics (Annex II)
- Serveis postals i de missatgeria
- Gestió de residus
- Fabricació i distribució de productes químics
- Producció i distribució d'aliments
- Fabricació (dispositius mèdics, electrònica, maquinària, vehicles)
- Proveïdors de serveis digitals (marketplaces, cercadors, xarxes socials)
- Recerca
Llindars de mida
| Tipus | Empleats | Facturació anual |
|---|---|---|
| Empresa mitjana (mínim) | 50 o més | 10M€ o més |
| Gran empresa | 250 o més | 50M€ o més |
Les empreses per sota d'aquests llindars queden, en principi, fora de l'abast directe de la NIS2. No obstant això, els estats membres poden designar entitats més petites si les consideren crítiques per al seu sector.
La teva empresa pertany a un d'aquests 18 sectors? El nostre equip de consultoria especialitzada pot avaluar el teu nivell d'exposició a la NIS2.
Obligacions principals: què exigeix la NIS2
Mesures de gestió de riscos
Les entitats afectades han d'implementar mesures tècniques, operatives i organitzatives proporcionades al risc. La directiva detalla un mínim de deu àrees:
- Polítiques de seguretat de la informació i anàlisi de riscos
- Gestió d'incidents de seguretat
- Continuïtat de negoci i gestió de crisis
- Seguretat de la cadena de subministrament
- Seguretat en l'adquisició i desenvolupament de sistemes
- Avaluació de l'eficàcia de les mesures adoptades
- Pràctiques de ciberhigiene i formació del personal
- Polítiques de criptografia i xifrat
- Seguretat dels recursos humans i control d'accessos
- Autenticació multifactor i comunicacions segures
Notificació d'incidents
Quan ocorre un incident significatiu, l'empresa ha de seguir un procés escalonat:
| Fase | Termini | Contingut |
|---|---|---|
| Alerta primerenca | 24 hores des del coneixement | Comunicació inicial al CSIRT de referència |
| Notificació formal | 72 hores | Avaluació de gravetat, impacte i possible causa |
| Informe final | 1 mes | Anàlisi completa, mesures de mitigació adoptades |
Un incident és "significatiu" quan causa una pertorbació operativa greu del servei o afecta — o pot afectar — altres persones físiques o jurídiques causant perjudicis considerables.
Responsabilitat dels directius
La NIS2 introdueix la responsabilitat personal dels òrgans de direcció. Els directius d'entitats essencials han d'aprovar les mesures de ciberseguretat, supervisar-ne la implementació i rebre formació específica. L'incompliment pot derivar en la prohibició temporal de l'exercici de funcions directives.
Sancions per incompliment: fins a 10 milions d'euros
El règim sancionador distingeix entre els dos tipus d'entitats:
| Tipus d'entitat | Multa màxima | Alternativa |
|---|---|---|
| Essencial | 10.000.000€ | o 2% de la facturació global anual (la major) |
| Important | 7.000.000€ | o 1,4% de la facturació global anual (la major) |
A més de les multes econòmiques, les autoritats poden:
- Ordenar la publicació de l'incompliment
- Suspendre certificacions o autoritzacions
- Prohibir temporalment l'exercici de funcions directives (només entitats essencials)
Aquestes sancions són equiparables a les del RGPD i representen un salt enorme respecte a la NIS original, que deixava el règim sancionador gairebé íntegrament a cada estat membre.
Estat de la NIS2 a Espanya: transposició pendent
El termini de transposició va vèncer el 17 d'octubre de 2024. Espanya no el va complir. L'estat actual:
- Gener 2025: el Consell de Ministres va aprovar l'Avantprojecte de Llei de Coordinació i Governança de la Ciberseguretat
- Maig 2025: la Comissió Europea va enviar un dictamen motivat a Espanya pel retard
- Maig 2026: el text segueix pendent de debat parlamentari a les Corts
La llei espanyola crearà el Centre Nacional de Ciberseguretat i assignarà competències al CCN (Centre Criptològic Nacional), INCIBE i l'Oficina de Coordinació de Ciberseguretat del Ministeri de l'Interior.
Mentre no es completi la transposició, les empreses han de considerar que moltes obligacions de la directiva tenen efecte directe, especialment les relatives a la notificació d'incidents i les mesures mínimes de seguretat. La prudència aconsella preparar-se sense esperar la llei nacional.
Vols avançar-te al compliment? Contacta amb el nostre equip per dissenyar el teu full de ruta de ciberseguretat NIS2.
Com preparar-se: passos i ajuts disponibles
Pla d'adaptació en 5 passos
- Determinar si la teva empresa n'està afectada: verificar sector (18 sectors) i mida (≥50 empleats o >10M€)
- Classificar la teva entitat: essencial o important, segons sector i mida
- Realitzar una anàlisi de riscos: avaluar l'estat actual de ciberseguretat davant les 10 àrees de la directiva
- Implementar les mesures tècniques i organitzatives: polítiques de seguretat, gestió d'incidents, continuïtat de negoci, seguretat de la cadena de subministrament
- Establir el protocol de notificació: preparar els procediments per complir els terminis de 24h/72h/1 mes
Ajuts per finançar l'adaptació
La inversió en ciberseguretat pot rebre suport de programes d'ajuts vigents:
- Kit Consulting: inclou un bloc de ciberseguretat bàsica (6.000€) amb avaluació de riscos, polítiques de seguretat i pla de formació
- Kit Digital: la categoria de ciberseguretat per a empreses cobreix eines de protecció i detecció
- Deduccions fiscals: la inversió en programari i sistemes de seguretat pot acollir-se a deduccions per innovació tecnològica
A Tecnocim Innova podem ajudar-te a avaluar la teva exposició a la NIS2, dissenyar un pla d'adaptació i connectar-lo amb els ajuts públics disponibles per finançar la inversió.
Contacta amb nosaltres per a una valoració inicial sense compromís.
¿Necessites ajuda amb aquest tema?
El nostre equip porta més de 30 anys ajudant empreses a maximitzar els seus incentius fiscals.
Sol·licita un diagnòstic gratuïtNIS2directiva NIS2ciberseguretat empresesciberseguretat directiva europea
Articles relacionats
Normativa
Normativa
