Contacta’ns

nis2

Els 10 controls mínims de NIS2 (i com implementar-los sense morir a l’intent)

La guia pràctica definitiva per complir amb la NIS2

La Directiva NIS2 introdueix el marc més exigent de resiliència digital a Europa. A diferència d’altres estàndards, la Directiva no proposa llistes de controls llargues: estableix 10 mesures mínimes obligatòries que totes les entitats essencials i importants han d’implantar.

La clau és entendre què significa cadascuna, com aplicar-les a l’empresa real i com documentar-ho correctament per evitar sancions o incompliments.

Aquí tens el desglossament oficial (art. 21) explicat de manera simple, accionable i orientada a resultats

1. Polítiques d’anàlisi de riscos i seguretat dels sistemes d’informació

Aquest control obliga a crear un marc formal de gestió de riscs digitals.

Com implementar-ho sense patir:

  • Identifica els actius crítics (dades, sistemes, persones, proveïdors).
  • Avalua impacte × probabilitat.
  • Documenta els riscos i les mesures de mitigació.
  • Revisa mínim 1 cop l’any.

Al Trust Center:
✓ Riscos preconfigurats
✓ Evidències centralitzades
✓ Panell de compliment NIS2

2. Gestió d’incidents de ciberseguretat

Inclou detecció, registre, resposta i notificació oficial.

Claus pràctiques:

  • Defineix procediment de resposta.
  • Determina rols: qui investiga, qui comunica, qui notifica.
  • Mantingues registres de tots els incidents.
  • Notificació obligatòria a 24h (early warning).

Al Trust Center:
Breach Manager per registrar, gestionar i documentar incidents
✓ Flux guiat de notificació

3. Continuïtat de negoci i recuperació (backups, DR, gestió de crisis)

NIS2 exigeix ​​assegurar que l’empresa pot continuar operant durant un incident greu.

Passos mínims:

  • Identifica processos essencials.
  • Defineix RTO/RPO.
  • Estableix backups provats regularment.
  • Crea un pla de contingència i prova-ho.

Al Trust Center:
✓ Plantilles de plans de continuïtat
✓ Registre de proves i evidències

4. Seguretat a la cadena de subministrament i relacions amb tercers

Un dels punts més crítics. Has de garantir que els teus proveïdors no són el teu punt feble.

Com complir:

  • Classifica proveïdors crítics.
  • Sol·licita polítiques, certificacions o evidències.
  • Avalua riscos associats al servei.
  • Defineix clàusules contractuals de seguretat.

Al Trust Center:
Third Party Manager
✓ Avaluacions automàtiques
✓ Evidències i contractes guardats

5. Seguretat en adquisició, desenvolupament i manteniment (inclou gestió/divulgació de vulnerabilitats)

Tot programari, eina o sistema s’ha d’incorporar amb controls de seguretat.

Checklist pràctic:

  • Revisions de codi o escanejats automàtics.
  • Gestió del cicle de vida de programari.
  • Pegats de seguretat actualitzats.
  • Política clara de divulgació de vulnerabilitats.

Al Trust Center:
✓ Registre de pegats
✓ Control de versions
✓ Plantilles de polítiques de desenvolupament segur

6. Avaluació continuada d’eficàcia de les mesures

No n’hi ha prou de tenir polítiques: cal demostrar que funcionen.

Com complir:

  • Auditoria interna anual.
  • Revisió trimestral de controls.
  • Evidències centralitzades.
  • Informes automàtics a direcció.

Al Trust Center:
✓ Panell de controls
✓ Auditories internes guiades
✓ Evidències amb traçabilitat

7. Pràctiques de ciberhigiene i formació en ciberseguretat

NIS2 és clar: la formació és obligatòria.

Implementació simple:

  • Formació anual a tota la plantilla.
  • Simulacions de pesca.
  • Polítiques dús acceptable.
  • Registre de participació.

Al Trust Center:
✓ Publicació a Trust Center
✓ Registre d’acceptacions
✓ Evidències de formació

8. Criptografia i xifrat

Protecció de dades en trànsit i repòs.

Com aplicar-ho:

  • HTTPS a tots els serveis.
  • Xifratge AES-256 en repòs.
  • Gestió segura de claus.
  • Prohibir protocols obsolets.

Al Trust Center:
✓ Evidències + checklist
✓ Verificació periòdica

9. Seguretat de recursos humans, control d’accessos i gestió d’actius

Inclou IAM, altes/baixes, privilegis, rols i protecció durant el cicle laboral.

Com complir:

  • MFA obligatori.
  • Revisió trimestral daccessos.
  • Procés formal d’onboarding i offboarding.
  • Inventari viu dactius.

Al Trust Center:
✓ Control d’actius
✓ Registre d’accessos i responsables
✓ Evidències d’IAM

10. Ús d’autenticació multifactor, comunicacions segures i canals d’emergència

És un control explícit i molt concret.

Checklist pràctic:

  • MFA activat a totes les aplicacions crítiques.
  • VPN segura.
  • Canals d’emergència alternatius (telèfon, SMS…).
  • Comunicacions xifrades extrem a extrem.

Al Trust Center:
✓ Validació de MFA
✓ Registre de mesures tècniques
✓ Checklist de compliment

Com implementar els 10 controls sense morir a l’intent

NIS2 no és només una directiva: és un canvi cultural. Però no ha de ser complex si tens una eina que ho centralitza tot:

Per què el Trust Center et simplifica NIS2:

  • Controls ja mapejats segons l’art. 21
  • Panell “NIS2 Readiness”
  • Evidències, polítiques, acceptacions, auditories i proveïdors en un únic lloc
  • Mòduls plug-and-play: Breach Manager, Policy Manager, Third Party Manager, Risk Manager

Menys dispersió. Més control. Compliment real. ithiki us Trust Center

Articles relacionats

Fa uns anys vam començar a parlar de DevOps . Després van arribar SecOps , FinOps , DataOps . Totes aquestes disciplines van entendre el mateix: gestionar un procés complex...

ENFCO acaba de publicar el seu Whistleblowing Framework 2026 , un document de més de 100 pàgines que analitza cap on evolucionen els sistemes de whistleblowing a Europa. Després de...

Vols provar el nostre canal de denúncies?

Fes-ho des d’aquí durant 15 dies, sense compromís, sense targetes,…

Vols veure com ithikios et pot ajudar?

Comença avui. Compleix la normativa en hores. I quan creixis, ithiki us t’acompanya.