Quan vaig començar a treballar com a consultor, parlar de ciberseguretat a les organitzacions era, gairebé sempre, parlar de compliment no obligatori. Marcs de bones pràctiques, recomanacions, estàndards voluntaris. Una cosa que convenia tenir, que aportava valor davant de clients o partners, però que poques vegades condicionava decisions estratègiques.
A més, era un territori clarament tècnic. Es delegava en especialistes, s’abordava en termes de sistemes, controls i configuracions i quedava lluny de les taules on realment es decidia el rumb de l’organització.
Amb el pas del temps, aquest paisatge ha canviat de manera radical.
Primer, perquè els incidents van deixar de ser escenaris hipotètics per esdevenir una realitat quotidiana. Després, perquè el seu impacte va deixar de mesurar-se únicament en termes tècnics i es va començar a expressar en interrupcions de servei, pèrdua de confiança, sancions, responsabilitats legals i exposició pública.
Aquest canvi d‟escala ha fet que el compliment deixés de ser una opció recomanable per convertir-se, progressivament, en una exigència legislativa. Però també ha posat de manifest una mica menys evident i més incòmode:
La Directiva NIS2 és una clara manifestació d’aquest canvi de paradigma.
La ciberseguretat ha deixat de ser un assumpte merament tècnic per esdevenir una responsabilitat corporativa, compartida i supervisada des de la direcció. La seguretat ja no és una cosa que es delega sense més ni més: és una qüestió de lideratge, criteri i rendició de comptes.
No és casual que, els darrers mesos, la NIS2 hagi començat a aparèixer en converses de comitès executius. Se l’esmenta sovint, però poques vegades s’explica amb calma o en tota la seva dimensió. Perquè la NIS2 no és només una nova norma europea: és el reflex d’un canvi d’època en la manera d’entendre la seguretat digital .
Amb aquesta directiva, la Unió Europea respon a l’augment sostingut dels ciberincidents ia la dependència cada vegada més gran d’infraestructures digitals i serveis essencials. La ciberseguretat passa així a considerar-se una qüestió dinterès públic, no només empresarial.
El 18 d’octubre del 2024 va marcar un punt d’inflexió: la directiva va entrar en vigor . A Espanya —com en altres Estats membres— la transposició a la legislació nacional continua pendent, cosa que genera incertesa. Però aquesta incertesa no deixa marge per a la inacció.
Síntesi executiva per a comitè de direcció
Si només et quedes amb algunes idees clau sobre la NIS2, haurien de ser aquestes:
- La ciberseguretat ha deixat de ser un assumpte tècnic.
La NIS2 trasllada la responsabilitat a la direcció i als òrgans de govern. Ja no és una cosa que es delega sense seguiment, sinó una matèria que exigeix criteri, supervisió i rendició de comptes. - Complir no equival a estar protegit.
La directiva no busca acumular controls, sinó assegurar que les organitzacions gestionen els seus riscos de manera realista, especialment pel que fa a la continuïtat del servei i la cadena de subministrament. - La NIS2 no és una norma tècnica, és un marc de govern.
No prescriu eines ni configuracions concretes. Exigeix que hi hagi decisions, processos i evidències que demostrin una gestió responsable de la seguretat. - El risc ja no és només intern.
Proveïdors, tercers i dependències crítiques formen part del perímetre de responsabilitat. Molts dels incidents més greus es produeixen precisament en aquests punts cecs. - La preparació no és un projecte puntual sinó un sistema.
Diagnòstic, governança, avaluació de riscos, mesures proporcionades, formació i revisió contínua. La NIS2 es compleix integrant-la al funcionament habitual de l’organització, no amb accions aïllades.
Aquesta és la lògica des de la qual cal abordar la directiva: menys urgència reactiva i més construcció d’un sistema que permeti decidir, actuar i demostrar amb coherència.
Què és realment la NIS2
La NIS2 és una directiva europea que estableix un nivell mínim comú de ciberseguretat per a aquelles organitzacions que operen en sectors considerats crítics o essencials. Substitueix la primera Directiva NIS i n’amplia de manera significativa l’abast, les exigències i el règim sancionador.
No és una norma tècnica que indiqui com configurar sistemes o quines eines concretes utilitzar. El seu propòsit és un altre: garantir que determinades organitzacions gestionen la seguretat de la informació de manera responsable, estructurada i controlada .
Per això, la NIS2 posa menys èmfasi a la tecnologia concreta i més a la governança, la presa de decisions i la capacitat de demostrar que s’actua amb criteri.
A qui aplica la NIS2
Una de les primeres preguntes que es fan moltes organitzacions és si la NIS2 els afecta realment. La resposta no sempre és evident, però la directiva es recolza en tres criteris principals:
- Ubicació : operar o prestar serveis a la Unió Europea.
- Grandària : principalment empreses mitjanes i grans, amb excepcions rellevants.
- Sector d’activitat : sempre que estigui inclòs entre els sectors crítics definits.
A més, la NIS2 distingeix entre entitats essencials i entitats importants , una classificació que determina el nivell de supervisió i el règim sancionador aplicable.
Alguns exemples ajuden a aterrar-ho. Un hospital entra clarament a l’àmbit de les entitats essencials. Un proveïdor de serveis cloud o d’infraestructura digital està subjecte directament a la directiva. Un fabricant es pot veure afectat si forma part duna cadena de subministrament crítica. I moltes empreses que presten serveis digitals a tercers són a dins, encara que no sempre en siguin conscients.
La clau és entendre que ja no només importa el que fas internament, sinó per a qui ho fas i quin impacte té la teva activitat al conjunt del sistema .
La directiva distingeix entre dos tipus d’entitats segons la criticitat. És fonamental identificar a quin grup es troba la teva organització per entendre el nivell de supervisió a què estaràs sotmès:
| Categoria | Entitats Essencials | Entitats Importants |
| Sectors | Energia, Salut, Banca, Infraestructura Digital. | Fabricació, Aliments, Gestió de Residus, Serveis Postals. |
| Supervisió | Proactiva: L’autoritat pot auditar en qualsevol moment. | Reactiva: Se supervisa després d’un indici d’incompliment o d’incident. |
| Multes Màximes | 10M€ o 2% del volum de negoci mundial. | 7M€ o 1,4% del volum de negoci mundial. |
Què exigeix la NIS2
La NIS2 introdueix un conjunt d’obligacions clares que, vistes des de fora, poden semblar exigents, però que són raonables si s’aborden des d’una lògica de bona gestió.
El primer gran canvi té a veure amb la governança . El lideratge deixa de ser opcional. La direcció s’ha d’implicar activament en la gestió de la ciberseguretat, aprovar les mesures necessàries, supervisar-ne els riscos i assumir responsabilitats.
En segon lloc, la directiva posa el focus en la gestió de riscos , amb una atenció especial a la cadena de subministrament. La pregunta ja no és només “estem protegits?”, sinó “què passa si falla un proveïdor clau o un servei del qual depenem?”.
A partir d’aquesta anàlisi, la NIS2 exigeix mesures mínimes que no s’han d’interpretar com a requisits tècnics complexos, sinó com a pràctiques bàsiques d’organització : polítiques clares, control d’accessos, plans de continuïtat, gestió d’incidents i ús de criptografia proporcionat.
Un altre element clau són les obligacions de notificació , amb terminis estrictes que obliguen a preparar-se amb antelació ia coordinar diferents àrees. En aquest context, la improvisació deixa de ser una opció viable.
Què passa si no es compleix
El règim sancionador de la NIS2 és sensiblement més sever que el de la directiva original. Però reduir-ne l’impacte a les multes seria un error.
El veritable risc és reputacional, contractual i operatiu . No complir es pot traduir en pèrdua de confiança, exclusió de licitacions, rescissió de contractes o interrupcions de serveis crítics. I, en molts casos, el mal més difícil de reparar no és l’econòmic, sinó el de credibilitat.
Com començar: una ruta pràctica i realista
Complir la NIS2 no és un projecte puntual ni un exercici de marcatge de caselles. És un procés continu que s’ha d’integrar al funcionament habitual de l’organització.
Un enfocament raonable sol començar amb un diagnòstic honest . A partir d’aquí, convé definir una governança clara i fer una avaluació de riscos que permeti prioritzar esforços.
Sobre aquesta base, es construeix un pla de mesures realistes, acompanyat de documentació clara i coherent. La formació, les proves i la revisió periòdica completen el cicle.
La seguretat no s’accelera sense pagar-ne un preu: exigeix temps, repetició i certa humilitat organitzativa.
Relació amb altres marcs: no començar de zero
En molts casos, el repte no és implantar alguna cosa nova, sinó ordenar el que hi ha , dotar-lo d’una lògica de govern i poder demostrar-ho de forma consistent.
La NIS2 manté una clara coherència amb marcs com ara ISO 27001, l’Esquema Nacional de Seguretat o altres sistemes de gestió. Moltes organitzacions ja compten amb pràctiques i evidències reutilitzables.
Conclusió: la NIS2 no és només un requisit, és una oportunitat
La NIS2 marca un abans i un després. Imposa obligacions, però també obre una oportunitat clara per professionalitzar la ciberseguretat, enfortir la resiliència i reforçar la confiança del mercat.
No es tracta de “sobreviure a la NIS2”, sinó de fer-la servir com a palanca per fer millor les coses.
Complir amb la NIS2 no consisteix a acumular documents, sinó a saber quins riscos s’assumeixen, qui decideix sobre ells i com es demostra que es gestionen de manera responsable .
Quan l’organització creix, aquesta visió deixa de ser manejable amb memòria i fulles soltes. En aquest punt, disposar d’un sistema que connecti riscos, decisions, evidències i revisió continuada permet que la responsabilitat segueixi sent assumible sense diluir-se.
A ithiki us treballem precisament des d’aquesta lògica: ajudar a convertir la NIS2 en un sistema governable en el temps , no en un exercici puntual de compliment.
