NIS2 per a empreses: què canvia en ciberseguretat i com preparar-te

NIS2 per a empreses: què canvia en ciberseguretat i com preparar-te
Índex de continguts

La Directiva NIS2 s’ha convertit en una de les grans protagonistes del nou marc europeu de ciberseguretat. El seu objectiu és elevar el nivell de protecció davant ciberatacs en els sectors més crítics de l’economia europea i en la cadena de subministrament que els dona suport.

A Espanya, la NIS2 s’està transposant mitjançant la futura Llei de Coordinació i Governança en Ciberseguretat, que encara es troba en tramitació parlamentària i, en el moment de redactar aquest article, no ha estat publicada al BOE. Però el missatge per a les empreses és clar: el compliment arribarà i les exigències seran altes.

En aquest article veurem què és la NIS2, a quines empreses afectarà a Espanya, quines són les seves principals obligacions i quins passos pràctics pots començar a fer ja perquè la teva organització arribi preparada, recolzant-te en un partner tecnològic com Inmove IT Solutions.

Què és la Directiva NIS2 i per què t’hauria d’importar

Per entendre l’impacte de NIS2 per a empreses, val la pena començar pel seu origen i el seu objectiu. Parlem d’una directiva europea, la Directiva (UE) 2022/2555, dissenyada per garantir un nivell comú i elevat de ciberseguretat a tots els Estats membres i que substitueix l’anterior NIS de 2016.

NIS2 amplia l’abast de la normativa, introdueix requisits més detallats de gestió de riscos i reforça el paper de les autoritats nacionals de ciberseguretat. En la pràctica, això significa que moltes més organitzacions –i no només grans operadors crítics– hauran d’adoptar mesures avançades de seguretat, notificació d’incidents i governança.

A més, NIS2 no es limita a l’empresa principal. Estén la responsabilitat a la cadena de subministrament i als proveïdors rellevants, cosa que fa que fins i tot empreses que no són crítiques per si mateixes es puguin veure afectades per exigències contractuals i auditories derivades de NIS2.

Situació de NIS2 a Espanya: de la Directiva a la llei nacional

Les directives europees no són d’aplicació directa: cada país les ha de traduir al seu ordenament jurídic. En el cas de NIS2, els Estats membres l’havien de transposar abans del 17 d’octubre de 2024.

A Espanya, aquesta transposició s’està realitzant mitjançant la futura Llei de Coordinació i Governança en Ciberseguretat, que preveu la creació d’un Centre Nacional de Ciberseguretat i un marc reforçat de coordinació entre organismes, operadors essencials i entitats importants.

Diferents fonts jurídiques confirmen que, a dia d’avui, el text encara no ha estat promulgat ni publicat al BOE, tot i que el debat parlamentari està avançat i la pressió regulatòria europea és alta. En altres paraules: la llei pot entrar en vigor en qualsevol moment i deixar poc marge de reacció a les organitzacions que no s’hagin preparat.

Per això, moltes empreses ja estan utilitzant el text de la Directiva NIS2 com a referència per revisar el seu model de ciberseguretat i anticipar canvis, en lloc d’esperar que el BOE marqui la línia de sortida.

A quines empreses afecta NIS2: sectors, dimensions i cadena de subministrament

Una de les grans novetats de NIS2 per a empreses és l’ampliació de l’àmbit d’aplicació. Ja no parlem només d’uns pocs operadors crítics: la directiva introdueix dues categories –entitats essencials i importants– que cobreixen un ventall molt més ampli de sectors.

En termes generals, NIS2 s’aplicarà a:

  • Empreses mitjanes i grans (més de 50 treballadors o més de 10 milions d’euros de facturació anual).
  • Organitzacions de sectors crítics com energia, aigua, transport, sanitat, banca, infraestructures digitals, administració pública, proveïdors de serveis gestionats IT, entre d’altres.
  • Determinades microempreses, quan prestin serveis essencials o tinguin un paper clau en la seguretat nacional.

A més, NIS2 dona molta importància a la cadena de subministrament. Les entitats regulades hauran d’avaluar i gestionar els riscos de ciberseguretat associats als seus proveïdors i socis comercials. Això significa que empreses tecnològiques, integradores, proveïdors de cloud, comunicacions o manteniment IT es poden veure sotmesos a requisits contractuals específics, auditories de seguretat i nivells mínims de maduresa.

Per a moltes PIMES tecnològiques de Barcelona i el seu entorn, això no és només un repte, sinó també una oportunitat per posicionar-se com a socis de confiança capaços de complir i fer complir NIS2.

Principals obligacions de NIS2 per a empreses

Més enllà de la classificació de sectors, el que realment impacta en el dia a dia són les obligacions concretes que introdueix NIS2 per a empreses. A grans trets, les podem agrupar en quatre blocs.

1. Governança i responsabilitat de l’òrgan de direcció

L’alta direcció ja no pot delegar la ciberseguretat únicament en el departament IT. NIS2 estableix que l’òrgan de direcció serà responsable d’aprovar la política de gestió de riscos de ciberseguretat, supervisar-ne l’execució i rebre formació específica sobre aquests riscos.

En cas d’incompliment greu, alguns Estats membres preveuen fins i tot la possible responsabilitat personal de directius, incloent inhabilitacions temporals per ocupar càrrecs de gestió. Això canvia radicalment la conversa als comitès de direcció: la ciberseguretat passa de ser un “cost tècnic” a un risc estratègic i legal.

2. Gestió de riscos i mesures tècniques mínimes

NIS2 obliga a implantar un sistema de gestió de riscos de ciberseguretat estructurat, amb mesures que van des de la protecció tècnica fins als processos i la formació. Entre d’altres, la directiva esmenta àmbits com:

  • Polítiques i procediments de seguretat de la informació.
  • Gestió d’incidents i resposta davant ciberatacs.
  • Continuïtat de negoci i recuperació davant desastres.
  • Seguretat a la cadena de subministrament i en la relació amb proveïdors.
  • Ús de xifratge i control d’accessos.
  • Formació i conscienciació del personal.

En la pràctica, això es tradueix en disposar de solucions com firewalls de nova generació, antivirus corporatiu avançat, monitorització 24/7, còpies de seguretat robustes i segmentació de xarxes, entre d’altres. Aquí és on serveis com els serveis de seguretat perimetral per a empreses o les solucions de ciberseguretat i antivirus corporatius d’Inmove IT Solutions aporten una base tècnica sòlida.

3. Notificació d’incidents: l’esquema 24–72–30

Una altra peça clau de NIS2 per a empreses és el nou esquema de notificació d’incidents significatius a les autoritats competents o CSIRT nacionals. La directiva estableix una seqüència en tres fases:

  • 24 hores: avís primerenc (early warning) amb informació bàsica sobre l’incident i el possible impacte.
  • 72 hores: notificació més detallada, amb una avaluació inicial de severitat, impacte i indicadors de compromís.
  • 1 mes: informe final amb descripció completa, causa arrel i mesures de mitigació aplicades.

Això implica tenir processos clars de detecció, classificació i escalat, així com un equip o proveïdor capaç de reaccionar amb rapidesa. Serveis com la monitorització 24/7 i la resposta davant incidents ajuden a complir aquests terminis sense improvisacions.

4. Sancions i conseqüències de no complir NIS2

NIS2 inclou un règim sancionador dur, pensat perquè l’incompliment no sigui una opció més barata que invertir en ciberseguretat. Per a les entitats essencials, les multes poden arribar als 10 milions d’euros o al 2 % de la facturació anual mundial, i per a les entitats importants, als 7 milions d’euros o a l’1,4 % d’aquesta facturació, optant sempre per la xifra més alta.

A això s’hi afegeixen sancions no monetàries: ordres de correcció, auditories obligatòries, possibles restriccions d’activitat i fins i tot, en alguns casos, responsabilitat personal de l’alta direcció. Més enllà de l’impacte econòmic, el dany reputacional d’un incident mal gestionat pot ser molt superior.

Com preparar la teva empresa per a NIS2: 5 passos pràctics

La pregunta per a moltes organitzacions no és si NIS2 les afectarà, sinó com arribar a temps. A continuació, et proposem una fulla de ruta pràctica que pots adaptar a la teva realitat.

1. Diagnòstic inicial i anàlisi de bretxa (gap analysis)

El primer pas és avaluar on ets respecte als requisits de NIS2. Això implica revisar polítiques, processos, controls tècnics i capacitats de resposta, identificant què ja compleixes (per exemple, alineació amb ISO 27001 o bones pràctiques d’INCIBE) i què falta reforçar.

En aquesta fase, un partner especialitzat pot ajudar-te a traduir el llenguatge legal de la directiva en requisits concrets de ciberseguretat per a la teva empresa, prioritzant accions en funció del risc i de l’impacte en el negoci.

2. Definir la governança de la ciberseguretat

NIS2 exigeix un model clar de rols i responsabilitats. Això passa per implicar el consell d’administració o la direcció general, nomenar responsables clars de ciberseguretat (CISO o figura equivalent) i establir comitès o fòrums de seguiment.

La clau és que les decisions sobre inversió, priorització de projectes i gestió de riscos es prenguin amb una visió de conjunt, no com a iniciatives aïllades del departament IT.

3. Reforçar els controls tècnics crítics

Un cop clarificat el model de governança, cal aterrar-lo en mesures tècniques concretes. Alguns pilars habituals són:

  • Segmentació de xarxes i protecció perimetral avançada.
  • Solucions d’endpoint i servidor amb capacitats antimalware i antiransomware.
  • Monitorització d’esdeveniments de seguretat i alertes 24/7.
  • Gestió d’identitats i accessos (MFA, privilegis mínims).
  • Còpies de seguretat provades i plans de recuperació.

En aquest punt encaixen serveis com les solucions de seguretat perimetral i firewall gestionat, els antivirus corporatius i antispam per a empreses o la monitorització 24/7 de sistemes i xarxes que ofereix Inmove IT Solutions.

4. Gestionar la cadena de subministrament i els proveïdors IT

NIS2 estén la responsabilitat als proveïdors crítics: cloud, comunicacions, outsourcing IT, manteniment, etc. És imprescindible inventariar-los, avaluar-ne el nivell de maduresa i reflectir requisits específics en contractes, acords de nivell de servei (SLA) i clàusules de seguretat.

Si la teva empresa actua com a proveïdor tecnològic, estar preparada per a NIS2 pot convertir-se en un argument comercial molt potent davant de clients que hagin de complir la directiva i busquin socis alineats amb el seu nivell d’exigència.

5. Pla de resposta a incidents, continuïtat i formació

Un programa NIS2 per a empreses no està complet sense un pla detallat de resposta a incidents i continuïtat de negoci, que inclogui simulacres, guies d’actuació i canals de comunicació interns i externs.

Complementàriament, la formació i conscienciació del personal és un dels controls més efectius i econòmics per reduir incidents de phishing, errors humans i ús indegut dels sistemes.

En aquest punt és útil enllaçar amb iniciatives ja existents, com els programes de ciberseguretat per protegir la teva empresa dels ciberatacs o amb continguts sobre plans de recuperació davant desastres i continuïtat de negoci que ajudin a aterrar aquests conceptes.

NIS2 com a oportunitat per reforçar la teva ciberseguretat

Tot i que NIS2 es pot percebre inicialment com una altra normativa més, per a moltes empreses serà el catalitzador que necessitaven per professionalitzar el seu enfocament de ciberseguretat i alinear tecnologia, processos i persones amb les millors pràctiques europees.

Anticipar-se al BOE i començar a treballar en NIS2 ara permet repartir les inversions en el temps, evitar presses d’última hora i negociar amb més tranquil·litat amb proveïdors, clients i asseguradores de ciber-riscos.

Des d’Inmove IT Solutions, acompanyem les empreses en aquest camí, combinant consultoria, serveis gestionats i solucions tecnològiques perquè NIS2 no sigui només una obligació, sinó una oportunitat per guanyar resiliència, confiança de client i avantatge competitiu.

Preguntes freqüents sobre NIS2 per a empreses

A continuació, responem algunes de les preguntes més habituals que solen plantejar els equips directius i responsables IT quan comencen a treballar amb NIS2.

Què és la Directiva NIS2 amb paraules senzilles?

NIS2 és una norma europea que obliga determinats sectors i empreses a reforçar la seva ciberseguretat, gestionar els riscos de manera sistemàtica i notificar els incidents greus en terminis molt ajustats (24–72–30 dies). El seu objectiu és reduir l’impacte dels ciberatacs sobre serveis essencials per a la ciutadania i l’economia.

A quin tipus d’empreses afecta NIS2 a Espanya?

Tot i que la llei espanyola de transposició encara no s’ha publicat al BOE, el text europeu estableix que s’aplicarà principalment a empreses mitjanes i grans de sectors crítics (energia, aigua, transport, sanitat, digital, administració, etc.), així com a proveïdors clau de la cadena de subministrament i a determinades microempreses essencials.

Què passa si la meva empresa no compleix NIS2?

L’incompliment pot comportar sancions econòmiques molt elevades (fins a 10 milions d’euros o el 2 % de la facturació global per a entitats essencials, i 7 milions o l’1,4 % per a entitats importants), a més d’ordres de correcció, auditories obligatòries i possibles responsabilitats per a l’alta direcció.

En què es diferencia NIS2 d’altres normes com RGPD o DORA?

Mentre que el RGPD se centra en la protecció de dades personals i DORA en la resiliència digital del sector financer, NIS2 s’orienta a garantir la continuïtat de serveis essencials i la ciberseguretat de xarxes i sistemes en múltiples sectors. És habitual que una mateixa empresa hagi de complir diversos marcs alhora, motiu pel qual convé harmonitzar els controls per evitar duplicitats.

Quins primers passos hauria de fer la meva empresa per preparar-se?

Els passos més recomanables són: realitzar un diagnòstic inicial respecte a NIS2, implicar l’alta direcció, reforçar els controls tècnics crítics, revisar la seguretat de la cadena de subministrament i establir un pla de resposta a incidents i continuïtat, acompanyat de formació per al personal. Comptar amb un partner especialitzat facilita prioritzar accions i convertir la norma en un projecte abordable.

Per ampliar informació oficial i tècnica, pots consultar les FAQ sobre NIS2 de l’INCIBE, on es detalla l’abast de la directiva i la seva aplicació als sectors estratègics a Espanya, o posar-te en contacte amb nosaltres.

T'agrada? Comparteix aquesta entrada:

SUPORT

Necessites Assistència?

El nostre equip està a punt per a ajudar-te a través del nostre programa de teleassistència, oferint suport remot per a resoldre els teus problemes ràpidament i millorar l'eficiència dels teus sistemes informàtics.
Equipo profesional de soporte técnico informático

Potser també t'interessa...