novedades ciberseguridad NIS 2

La Directiva (UE) 2022/2555, en vigor des del 16 de gener de 2023 (“NIS 2”), estableix noves mesures per impulsar un nivell comú en matèria de ciberseguretat a tota la Unió Europea (“UE”) i substitueix l’anterior Directiva (UE) 2016/1148 (“NIS 1”).

La NIS 2 té com a objectiu actualitzar el marc normatiu comunitari de ciberseguretat i dotar les entitats que operen a la UE d’eines i mecanismes per gestionar adequadament els riscos de ciberseguretat. Per a això, (i) amplia l’àmbit d’aplicació, incorporant nous sectors; (ii) reforça els requisits de seguretat, incloent-hi la seguretat de la cadena de subministrament, i (iii) millora el procés de notificació d’incidents i de cooperació i coordinació entre els Estats Membres (“EEMM”).

La NIS 2 s’emmarca dins de l’anomenada “Estratègia Digital Europea”, en el context de revisió realitzada per la Comissió Europea de la NIS 1 l’any 2020. La finalitat de la NIS 1 era fixar uns estàndards comuns en matèria de ciberseguretat per a tots els EEMM amb l’objectiu de garantir la seguretat de les xarxes i dels sistemes d’informació a tota la UE. No obstant això, des de l’adopció de la NIS 1, els incidents en ciberseguretat i el cost global de la ciberdelinqüència han augmentat significativament. A més, la implementació de la NIS 1 va presentar dificultats a causa de les divergències en la seva transposició per part dels EEMM, cosa que va comprometre la pretesa uniformitat de ciberseguretat a la UE.

Ara, la NIS 2 s’aprova amb l’objectiu d’abordar les deficiències de la seva predecessora i fer front a l’aparició de nous riscos i amenaces per a la ciberseguretat en el conjunt dels EEMM tenint en compte la ràpida i vertiginosa revolució tecnològica.

Aquestes són les principals novetats que introdueix la nova normativa:

  • Ampliació de l’àmbit d’aplicació a entitats petites i microempreses, que tinguin un paper clau, com ara proveïdors de xarxes públiques o serveis de comunicacions electròniques; prestadors de servei de noms de domini, o administracions locals i centres d’ensenyament, si així ho determina l’EM.
  • Augment del nombre de sectors, diferenciant un total de 18 sectors especificats als Annexos I (Sectors d’alta criticitat) i II (Altres sectors crítics), amb subsectors per a una major comprensió (transport de gas, aigua potable, sector sanitari, laboratoris, gestió de serveis TIC B2B, etc.).
  • Nova classificació d’entitats subjectes, diferenciant dues categories principals: (i) entitats essencials i (ii) entitats importants, segons el grau de criticitat.
  • Governança: es dóna una importància significativa als òrgans de direcció de les entitats afectades, ja que la NIS 2 els obliga a: (i) aprovar l’adequació de les mesures necessàries per a la gestió de riscos de ciberseguretat; (ii) supervisar de manera periòdica la seva implementació; i (iii) respondre com a responsables davant els incompliments de la normativa.
  • Mesures tècniques, operatives i organitzatives mínimes: es detallen les mesures que han d’adoptar les entitats afectades per gestionar els riscos de ciberseguretat i prevenir o minimitzar les repercussions dels ciberincidents (polítiques de seguretat, anàlisis de riscos, processos de gestió d’incidents, polítiques d’avaluació periòdica o pràctiques de ciberhigiene, entre d’altres). Aquestes mesures poden ser compatibles amb altres mesures no previstes a la NIS 2 de forma complementària. A més, les entitats han d’atendre a diferents aspectes per assegurar la seva proporcionalitat com, per exemple, el tipus de sector, la mida de l’entitat, el grau d’exposició al risc o la probabilitat d’ocurrència, així com la gravetat de la pròpia materialització de l’incident i el seu cost. La NIS 2 pretén afavorir l’adopció per part de les entitats d’una actitud proactiva, en lloc de reactiva, davant els incidents.
  • Avaluació de la qualitat general i resiliència dels productes i serveis que contractin per reforçar la seguretat en tota la cadena de subministrament, així com implementar mesures de gestió de riscos en els seus processos i pràctiques de ciberseguretat dels seus proveïdors i prestadors de serveis, incloent-hi els seus procediments de desenvolupament segur (acords contractuals, auditories de seguretat i pràctiques de desenvolupament segures).
  • Notificació immediata a les autoritats pertinents (al CSIRT o, en el seu defecte, a l’autoritat competent) de qualsevol incident amb un “impacte significatiu” (a més d’informar els usuaris d’un servei essencial si es veuen afectats).
  • Règim de sancions més sever per garantir el compliment de les seves disposicions, amb multes administratives de fins a 10 milions d’euros o el 2% del volum de negocis anual total per a entitats essencials, i de fins a 7 milions d’euros o l’1,4% del volum de negocis anual total per a entitats importants.


Les modificacions introduïdes per la NIS 2 representen una transformació en la seguretat i resiliència de les entitats davant les ciberamenaces.

Els EEMM disposen fins al 17 d’octubre de 2024 per transposar la NIS 2 a les seves legislacions nacionals. A Espanya, aquesta implementació reemplaçaria l’actual Reial decret-llei 12/2018 (i el seu reglament de desenvolupament, el Reial decret 43/2021).

Amb la data límit de transposició cada cop més a prop, és important recordar que la NIS 2 no s’ha d’interpretar de forma aïllada, sinó que s’alinea amb altres normatives europees (el Reglament de Ciberresiliència, el Reglament DORA, la Directiva CER o el Reglament sobre la Ciberseguretat) que estan dirigides a elevar el nivell de resiliència de la UE per fer front a amenaces creixents i cada cop més complexes.

Necessites que t’ajudem a revisar el nivell de compliment de la teva empresa en matèria de ciberseguretat? Parlem!