Quan una organització entén que està subjecta a la NIS2 , la pregunta no sol ser si cal actuar, sinó com fer-ho sense perdre’s pel camí. La directiva és clara en els seus objectius, però deliberadament oberta al “com”. I és on comencen els dubtes, la dispersió d’esforços i, en molts casos, la sensació d’estar sempre reaccionant tard.
Abans d’entrar en eines o solucions concretes, cal prendre una primera decisió estratègica: com abordar la implementació de la NIS2. A la pràctica, no hi ha un únic enfocament vàlid, sinó diferents combinacions de responsabilitat interna, suport expert i suport operatiu.
Algunes organitzacions opten per un enfocament completament intern. És un camí viable quan hi ha maduresa prèvia i capacitat per sostenir lesforç en el temps. El repte rares vegades és entendre el que demana la directiva, sinó mantenir coherència, continuïtat i disciplina al llarg de tot el procés, evitant que el compliment depengui de persones concretes o d’esforços puntuals.
Altres organitzacions es recolzen en consultors externs per accelerar l’arrencada, interpretar correctament els requisits i evitar errors habituals. El valor del consultor és a l’anàlisi, el criteri professional i l’experiència comparada. Però la NIS2 és clara en un punt fonamental: la responsabilitat no es delega. Les decisions, l’acceptació del risc i la governança continuen pertanyent a la pròpia organització.
És en aquest punt on el suport tecnològic adquireix sentit. Una plataforma SaaS no substitueix ni l’equip intern ni el criteri d’un auditor o consultor, però sí que actua com un accelerador organitzatiu. Proporciona una base comuna sobre la qual persones i decisions poden treballar de manera coherent, reduint fricció, duplicitats i pèrdua dinformació.
Un dels errors més comuns en abordar la NIS2 és pensar-la com un conjunt de documents que cal produir. En realitat, la directiva exigeix una cosa força més complexa: que l’organització sigui capaç d’identificar riscos, prendre decisions, demostrar governança i revisar-ne contínuament la postura de seguretat.
Fer tot això de manera manual és possible, però sol ser lent, fràgil i molt dependent de persones concretes. Una plataforma permet transformar aquesta exigència en un sistema únic, on actius, riscos, decisions, controls i incidents es relacionen i es reforcen mútuament. No simplifica la NIS2 en termes d’exigència, però sí que la converteix en una cosa operable, traçable i sostenible en el temps.
Accelerar comença per compartir una mateixa base
Un dels grans bloquejos en començar amb la implementació de la NIS2 és la manca d’una visió comuna a l’organització. Es discuteix llargament sobre l’abast, sobre què entra i què no, què és realment crític. Sense una base compartida, cada conversa comença des de zero.
Aquí l’inventari d’actius hi juga un paper clau. No es pot gestionar allò que no es coneix, i la NIS2 insisteix precisament a identificar serveis essencials, actius crítics i dependències externes. Una plataforma permet construir i mantenir un inventari viu, que no queda en una foto estàtica, sinó que connecta actius amb serveis, proveïdors, riscos i incidents.
Quan aquesta informació està integrada, moltes discussions desapareixen per elles mateixes. L’abast deixa de ser una opinió i passa a ser tangible i compartit. Complir amb la NIS2 més ràpid no vol dir fer més coses en menys temps, sinó reduir fricció, evitar feines duplicades i prendre decisions sobre una base comuna. A la pràctica, la diferència entre avançar i embussar-se no sol estar en el coneixement tècnic, sinó en com s’organitza el compliment.
Polítiques que ordenen
Les polítiques són obligatòries a NIS2, però escriure-les des de zero sol ser una de les tasques més lentes i frustrants. No només pel temps que porta, sinó perquè és fàcil que apareguin incoherències entre documents o que es redactin textos que després ningú fa servir. Una plataforma SaaS accelera aquest punt i ofereix plantilles de polítiques que asseguren una cobertura mínima, mantenen coherència entre documents i s’adapten al context real de l’organització. No es tracta de copiar i enganxar, sinó d’evitar el treball mecànic per centrar-se en allò important: què es decideix, per què i com s’aplica.
Gestió de riscos
La gestió de riscos és el nucli de la NIS2 i, paradoxalment, un dels processos que més es repeteix innecessàriament. Fulls de càlcul que es dupliquen, versions que es perden, avaluacions que no connecten amb tractaments.
Una plataforma SaaS permet avaluar riscos de manera homogènia, aplicar criteris clars d’acceptació i connectar automàticament l’avaluació amb el tractament. El procés es torna més àgil, sí, però sobretot més consistent, una cosa fonamental quan cal demostrar governança davant d’un auditor o una autoritat competent.
A més, la NIS2 deixa clar que certs riscos no es poden acceptar “en silenci”. La plataforma força les aprovacions quan correspon, registra qui decideix i quan, i deixa evidència clara del procés. Això elimina un dels focus d’incertesa organitzativa més grans: saber realment qui ha assumit quin risc.
Incidents: quan no hi ha temps per improvisar
Quan passa un incident, la velocitat importa. I no només per resoldre’l, sinó per notificar-ho correctament i entendre’n l’impacte real. Si en aquell moment cal cercar informació dispersa o reconstruir decisions passades, el marge d’error augmenta. Una plataforma permet registrar incidents de forma estructurada, relacionar-los amb riscos i actius, analitzar-ne l’impacte i deixar una traçabilitat completa del que ha passat. L´organització no improvisa: actua sobre una base ja construïda.
Tot en un sol lloc: la diferència per al consultor
Des de la perspectiva d’un consultor que acompanya les organitzacions en el camí cap al compliment, una plataforma centralitzada marca una diferència clara. Disposar de polítiques, controls, riscos, evidències i estats d’avenç connectats a un únic entorn redueix la fricció operativa i elimina gran part del treball manual i repetitiu.
La informació estructurada i sempre actualitzada permet al consultor treballar amb més precisió, accelerar diagnòstics, facilitar revisions periòdiques i oferir recomanacions basades en una visió completa i coherent de l’estat real de l’organització. El resultat és un acompanyament més eficient i de més valor: menys temps dedicat a recopilar informació i més focus en anàlisi, criteri professional i suport estratègic al client.
En plataformes dissenyades específicament per a compliment normatiu –com Ithikios– l’objectiu no és automatitzar decisions, sinó fer-les visibles, coherents i traçables.
Evidències
Un altre efecte menys visible —però decisiu— d’una plataforma SaaS és que l’evidència no es genera posteriorment, sinó com a part natural del treball diari.
En molts enfocaments manuals, complir significa reconstruir el passat: cercar correus, justificar decisions antigues, explicar per què alguna cosa es va acceptar o es va prioritzar de manera determinada. Això consumeix temps, genera estrès i augmenta el risc d’inconsistències. Quan les decisions, les aprovacions, les revisions i els canvis es produeixen dins d’una plataforma, l’evidència existeix des del primer moment. No cal “preparar-la” per a una auditoria o una revisió: ja hi és, vinculada al risc, a l’actiu i al responsable corresponent.
Això accelera el compliment perquè elimina una de les fases més lentes i fràgils de qualsevol procés regulatori: demostrar allò que ja es va fer.
Sostenibilitat
Un altre benefici clau –i poques vegades reconegut– és la reducció de la dependència de persones concretes. En moltes organitzacions, el coneixement sobre riscos, decisions o excepcions viu al capdavant d’unes quantes persones. Quan aquestes persones canvien de rol, se’n van o simplement no estan disponibles, el sistema se’n ressent. Una plataforma SaaS desplaça aquest coneixement des de la memòria individual cap al propi sistema. Les decisions queden registrades, els criteris documentats i el context preservat. L’organització no depèn de “qui ho sap” sinó de com està governat. Això no només millora la resiliència interna, sinó que accelera el compliment de la NIS2 en fer que el sistema continuï funcionant fins i tot quan canvia l’organització.
Conclusió
La NIS2 no és una fita que s’assoleix una vegada, sinó un compromís que cal sostenir en el temps. El compliment real exigeix continuïtat: recordatoris automàtics, revisions periòdiques, evidències actualitzades i la capacitat de detectar desviacions abans que es converteixin en incompliments. En aquest context, una plataforma SaaS permet a l’organització mantenir-se permanentment preparada, sense dependre de dates límit, auditories puntuals o que algú “aixequi la mà”.
Com dèiem a l’inici, una plataforma SaaS no simplifica la NIS2 en termes d’exigència, però sí que la fa governable. Centralitza el control, elimina duplicitats, redueix el soroll operatiu i transforma la directiva en un sistema viu que funciona quotidianament. I aquesta sensació de control continu és el que realment accelera i consolida el compliment.
La diferència entre complir la NIS2 i viure permanentment a la vora de l’incompliment no és quant se sap, sinó com es governa. I això, avui, difícilment se sosté sense un sistema que pensi a llarg termini.
