Com complir amb la NIS2 abans que sigui obligatori a Catalunya

A dia d’avui, la Directiva NIS2 està ja en vigor a nivell europeu, però la seva transposició definitiva a l’ordenament jurídic espanyol encara està pendent. Tot i així, milers d’empreses catalanes han de preparar-se des de ja per al seu compliment si volen evitar problemes regulatoris, sancions o l’exclusió de contractes públics. A més del seu impacte regulatori, la NIS2 marca un canvi profund en la forma en què les empreses han d’abordar la gestió del risc digital. No es tracta només d’evitar sancions, sinó de professionalitzar la seguretat de la informació i preparar-se per a un entorn cada cop més exigent.

Moltes organitzacions encara creuen que “complir” és tenir un antivirus actualitzat o fer còpies de seguretat. Però el compliment NIS2 exigeix ​​una visió més integral:

• Arquitectura segura
• Formació contínua
• Traçabilitat dels processos
• Implicació de la direcció
• Resiliència davant de ciberincidents
• I tot això documentat, verificable i mesurable.

Què és la Directiva NIS2 i què canvia per a les empreses?

La Directiva NIS2 (UE) 2022/2555 té com a objectiu reforçar la ciberseguretat a tota la Unió Europea. Substitueix la NIS1 i estableix noves obligacions per a entitats que operen en sectors considerats essencials o importants. Aquesta directiva no és un simple marc orientatiu. Té implicacions reals i tangibles:

• Les obligacions de seguretat ja no són genèriques: cal que estiguin documentades, justificades i alineades amb el nivell de risc.
• S’estableix una responsabilitat personal de l’alta direcció en cas d’incompliment o manca de diligència.
• L’enfocament passa de la “reacció” a l'”anticipació”, exigint a les organitzacions identificar, analitzar i mitigar amenaces de forma contínua.

¿ Quines empreses estan obligades a complir la NIS2 a Catalunya?

Una de les grans novetats de la NIS2 és que amplia el nombre d’empreses afectades . Ja no es limita a grans operadors o infraestructures crítiques.

La NIS2 identifica dues categories:

• Entitats essencials: energia, transport, banca, salut, infraestructura digital, aigua, etc.
• Entitats importants: serveis postals, alimentació, gestió de residus, indústria manufacturera, tecnològica, etc.

La NIS2 afecta tota empresa o organització amb:

• Més de 50 treballadors o
• Més de 10 milions d’euros de facturació anual

I el més crític: també afecta proveïdors clau o subcontractistes que donen suport als sectors esmentats.

Auditoria NIS2: el primer pas per assegurar el compliment

Exemple pràctic: per on comença una pime afectada?

Imaginem una empresa de fabricació tecnològica amb 80 treballadors que desenvolupa components per al sector públic. Encara que no és al radar mediàtic, està classificada com a entitat important segons la NIS2. Encara no té una política formal de seguretat ni ha realitzat una anàlisi de riscs.

En aquest cas, el camí lògic és:

1. Realitzar una auditoria NIS2 bàsica, que identifiqui bretxes i nivell dexposició.
2. Definir un pla de mesures mínimes prioritzades, per exemple control d’accessos, formació interna, sistema d’alertes.
3. Redactar la documentació crítica inicial: política de seguretat, procediments de notificació i gestió dincidents.
4. Avaluar els contractes amb proveïdors per introduir clàusules de compliment.

Aquest enfocament permet avançar sense esperar que s’aprovi la normativa a l’estat espanyol i posiciona l’empresa per mantenir clients clau i optar a noves licitacions. Comptar amb el suport d’una empresa de ciberseguretat el 2025 perquè faci una auditoria externa és no només recomanable, sinó essencial.

Amb una anàlisi tècnica superficial no n’hi ha prou: cal una avaluació formalitzada, basada en:

• Polítiques i procediments vigents
• Models de maduresa (tipus ENS, ISO/IEC 27001, NIST, etc.)
• Capacitat de detecció i resposta davant d’incidents
• Govern de la seguretat: rols, reporting i planificació

A Edorteam, com a consultors amb experiència en ENS i NIS2, avaluem també:

• La capacitat real de compliment en cas dinspecció
• El risc reputacional davant d’una bretxa no gestionada
• La preparació de l´alta direcció en entorns de crisis digitals

Compliment NIS2: mesures obligatòries que has d’implementar

Algunes mesures que estan sent recomanades pels equips tècnics de transposició de l’estat espanyol i que s’inclouran amb alta probabilitat a la legislació nacional:

• Xifrat d’extrem a extrem a totes les comunicacions sensibles
• Ús obligatori de MFA (autenticació multifactor) a tots els accessos remots
• Supervisió activa 24/7 amb eines SIEM o equivalents
• Registre formal d’incidents amb traçabilitat i cadena de custòdia digital
• Capacitat de report a autoritats nacionals en menys de 24h
• Avaluació de proveïdors amb evidència documental i requisits contractuals
• Pla de continuïtat i comunicació en cas de cibercrisi provat anualment

Aquestes mesures ja estan sent exigides en plecs de licitacions públiques, cosa que anticipa la seva obligatorietat imminent.

Checklist bàsica per iniciar el compliment

Element	En empreses no afectades per la NIS2	En empreses afectades per la NIS2
Responsable de ciberseguretat	Opcional	Obligatori
Notificació d’incidents	No estructurada	24h-72 h
Avaluació de proveïdors	Inexistent	Contractual i documentada

No esperis que la NIS2 ja sigui obligatòria a Catalunya

Tot esperant la transposició oficial, totes les organitzacions que encaixin en els criteris anteriors haurien de:

• Executar una auditoria NIS2 professional i independent
• Definir una estratègia de compliment faseada i prioritzada
• Comunicar a l’equip directiu els riscos legals, reputacionals i econòmics

A Edorteam ajudem organitzacions en tot el procés d’adequació i compliment NIS2 . No esperis que sigui obligatori: avança’t i transforma la teva seguretat en un avantatge competitiu!