Què és NIS2
Europa apuja el llistó. I la responsabilitat puja a direcció.
NIS2 és la directiva europea de ciberseguretat (Directiva UE 2022/2555), en vigor des del 2023. Substitueix la norma anterior del 2016 i eleva el nivell exigit: gestió de riscos, pla de continuïtat, notificació d'incidents en terminis de 24 i 72 hores, i seguretat de la cadena de subministrament.
La novetat que més cou: la responsabilitat ja no és d'IT, és de l'òrgan de direcció. El consell ha d'aprovar i supervisar les mesures, formar-se en ciberseguretat i pot respondre personalment si no compleix. Amb multes de fins a 10 milions d'euros o el 2% de la facturació mundial.
La llei espanyola
La llei espanyola és a punt de caure. Les obligacions, ja corren.
Espanya havia de transposar NIS2 abans del 17 d'octubre de 2024 i encara no ho ha fet. L'avantprojecte de Llei de Coordinació i Governança de la Ciberseguretat va ser aprovat pel Consell de Ministres el 14 de gener de 2025 i segueix en tramitació parlamentària, sense aprovació definitiva.
La pressió perquè surti és màxima: la Comissió Europea va obrir expedient a Espanya i el maig de 2026 va enviar el segon requeriment formal, el pas previ a portar el cas al Tribunal de Justícia de la UE. Quan es publiqui al BOE, no hi haurà període d'adaptació còmode: qui arribi tard, arribarà tard.
Estat verificat el 6 de juliol de 2026A qui obliga directament?
18 sectors. I a partir de 50 empleats, dins.
Obliga empreses de sectors essencials (energia, transport, banca, sanitat, aigua, infraestructura digital, serveis TIC gestionats, administració pública, espai…) i sectors importants (alimentació, químic, residus, fabricació, postal, plataformes digitals, recerca…).
El llindar general: ser en un d'aquests sectors i tenir 50 o més empleats o més de 10 milions d'euros de facturació. I hi ha excepcions que arriben a empreses de qualsevol mida si el seu servei és crític.
L'efecte cascada
No ets a la llista? Els teus clients sí.
Aquí hi ha la lletra petita que gairebé ningú no llegeix: NIS2 obliga les empreses afectades a garantir la seguretat de la seva cadena de subministrament. És a dir, a exigir ciberseguretat als seus proveïdors — sigui quina sigui la mida del proveïdor.
A la pràctica: qüestionaris de seguretat, clàusules de ciberseguretat als contractes i homologació de proveïdors. Si vens a una empresa obligada, les seves obligacions cauen en cascada sobre tu. No et multarà l'Administració: et descartarà el teu client.
La pregunta no és si t'afecta. És quant: moltíssim, molt o força.
Directament obligat, proveïdor d'un obligat o simplement guardant dades que la llei ja t'exigeix protegir: tots els camins porten a una ciberseguretat demostrable.
Moltíssim, molt o força?
Respon-ho amb la revisió gratuïta: quines normes t'apliquen, quines obligacions tens i què hi arrisques. Sense tecnicismes i sense compromís.
Descobreix en 5 minuts quant t'afecta →(castellà)