Guia ràpida

NIS2: la nova directiva europea, explicada.

Sense argot. Què és, a qui obliga i per què t'afecta encara que creguis que no.

1

Què és NIS2

Europa apuja el llistó. I la responsabilitat puja a direcció.

NIS2 és la directiva europea de ciberseguretat (Directiva UE 2022/2555), en vigor des del 2023. Substitueix la norma anterior del 2016 i eleva el nivell exigit: gestió de riscos, pla de continuïtat, notificació d'incidents en terminis de 24 i 72 hores, i seguretat de la cadena de subministrament.

La novetat que més cou: la responsabilitat ja no és d'IT, és de l'òrgan de direcció. El consell ha d'aprovar i supervisar les mesures, formar-se en ciberseguretat i pot respondre personalment si no compleix. Amb multes de fins a 10 milions d'euros o el 2% de la facturació mundial.

2

La llei espanyola

La llei espanyola és a punt de caure. Les obligacions, ja corren.

Espanya havia de transposar NIS2 abans del 17 d'octubre de 2024 i encara no ho ha fet. L'avantprojecte de Llei de Coordinació i Governança de la Ciberseguretat va ser aprovat pel Consell de Ministres el 14 de gener de 2025 i segueix en tramitació parlamentària, sense aprovació definitiva.

La pressió perquè surti és màxima: la Comissió Europea va obrir expedient a Espanya i el maig de 2026 va enviar el segon requeriment formal, el pas previ a portar el cas al Tribunal de Justícia de la UE. Quan es publiqui al BOE, no hi haurà període d'adaptació còmode: qui arribi tard, arribarà tard.

Estat verificat el 6 de juliol de 2026
3

A qui obliga directament?

18 sectors. I a partir de 50 empleats, dins.

Obliga empreses de sectors essencials (energia, transport, banca, sanitat, aigua, infraestructura digital, serveis TIC gestionats, administració pública, espai…) i sectors importants (alimentació, químic, residus, fabricació, postal, plataformes digitals, recerca…).

El llindar general: ser en un d'aquests sectors i tenir 50 o més empleats o més de 10 milions d'euros de facturació. I hi ha excepcions que arriben a empreses de qualsevol mida si el seu servei és crític.

Essencials: supervisió proactiva Importants: t'investiguen si hi ha indicis o incident Mitjanes i grans de 18 sectors
4

L'efecte cascada

No ets a la llista? Els teus clients .

Aquí hi ha la lletra petita que gairebé ningú no llegeix: NIS2 obliga les empreses afectades a garantir la seguretat de la seva cadena de subministrament. És a dir, a exigir ciberseguretat als seus proveïdors — sigui quina sigui la mida del proveïdor.

A la pràctica: qüestionaris de seguretat, clàusules de ciberseguretat als contractes i homologació de proveïdors. Si vens a una empresa obligada, les seves obligacions cauen en cascada sobre tu. No et multarà l'Administració: et descartarà el teu client.

La pregunta no és si t'afecta. És quant: moltíssim, molt o força.

Directament obligat, proveïdor d'un obligat o simplement guardant dades que la llei ja t'exigeix protegir: tots els camins porten a una ciberseguretat demostrable.

Moltíssim, molt o força?

Respon-ho amb la revisió gratuïta: quines normes t'apliquen, quines obligacions tens i què hi arrisques. Sense tecnicismes i sense compromís.

Descobreix en 5 minuts quant t'afecta →

(castellà)