NIS2 a Espanya: guia pràctica per a pimes i a qui aplica
La Directiva NIS2 (UE 2022/2555) ha ampliat molt el nombre d'organitzacions obligades a demostrar ciberseguretat a Europa. Si la teva empresa té seu o presta serveis a Espanya, aquesta guia t'explica a qui aplica NIS2, què exigeix, quan entra en vigor i com preparar-te sense invertir en maquinari costós.
Què és la Directiva NIS2?
NIS2 és l'evolució de la Directiva NIS de 2016. El seu objectiu és elevar el nivell de ciberseguretat comú a la Unió Europea imposant obligacions tècniques i organitzatives a un conjunt molt més ampli d'entitats. A Espanya es transposa mitjançant la Llei de Coordinació i Governança de la Ciberseguretat.
A diferència de la primera NIS, NIS2:
- Inclou mitjanes i grans empreses de sectors essencials i importants.
- Introdueix responsabilitat directa de la direcció.
- Imposa terminis concrets de notificació d'incidents (24 h alerta primerenca, 72 h notificació completa).
- Estableix sancions de fins a 10 M€ o el 2 % de la facturació global.
A qui aplica NIS2 a Espanya?
NIS2 aplica a organitzacions a partir de 50 empleats o 10 M€ de facturació que operin en sectors essencials o importants:
| Sectors essencials | Sectors importants |
|---|---|
| Energia, transport, banca | Serveis postals |
| Salut, aigua | Gestió de residus |
| Infraestructura digital, administració | Fabricació (química, alimentació, dispositius mèdics) |
| Espai | Proveïdors digitals |
Moltes pimes tecnològiques, MSP, clíniques privades, distribuïdores elèctriques locals i administracions hi entren tot i no esperar-ho.
Si ets proveïdor d'una entitat essencial, el teu contracte probablement ja t'obliga a complir NIS2 encara que la teva empresa no superi els llindars.
Requisits tècnics clau
L'article 21 de la directiva exigeix, entre d'altres:
- Anàlisi de riscos i polítiques de seguretat.
- Gestió d'incidents amb detecció, resposta i notificació.
- Continuïtat de negoci i recuperació.
- Seguretat de la cadena de subministrament.
- Seguretat en desenvolupament i manteniment.
- Xifratge quan escaigui.
- Control d'accés i identitats, amb MFA obligatori en accessos remots i privilegiats.
- Formació i conscienciació.
Com Zero Trust ajuda a complir NIS2
Molts d'aquests punts es resolen substituint la VPN tradicional per un model Zero Trust Network Access (ZTNA):
- Control d'accés granular per identitat + dispositiu.
- Segmentació per aplicació que limita l'impacte d'un incident.
- Registre complet de sessions com a base per a la notificació en 24/72 h.
- MFA natiu i sense excepcions.
- Eliminació de superfície d'atac exposada (sense ports VPN públics).
Si encara depens d'una VPN clàssica, consulta la nostra guia de migració VPN → ZTNA.
Terminis i sancions
- Aplicació: les autoritats competents (INCIBE-CERT, CCN-CERT) ja estan notificant entitats essencials.
- Sancions: fins a 10 M€ o 2 % de facturació per a entitats essencials; 7 M€ o 1,4 % per a importants.
- Responsabilitat personal de la direcció.
Checklist ràpid per a pimes
- Confirmar si ets dins de l'abast.
- Designar un responsable de ciberseguretat.
- Inventari d'actius i proveïdors crítics.
- Política de gestió d'incidents amb terminis NIS2.
- MFA a tots els accessos remots i privilegiats.
- Segmentar la xarxa per aplicació (ZTNA).
- Pla de continuïtat i còpies de seguretat provades.
- Formació anual del personal.
Preguntes freqüents
NIS2 aplica a la meva pime amb menys de 50 empleats? Només si prestes serveis crítics a una entitat essencial o si el teu sector expressament elimina el llindar.
Quina diferència hi ha amb l'ENS? L'ENS aplica al sector públic i als seus proveïdors. NIS2 aplica a sectors estratègics privats i públics. Es reforcen mútuament.
Quant costa complir NIS2? Depèn del punt de partida. Substituir VPN per ZTNA com ConnectaSec costa des de 40 €/mes.
Vols validar la teva situació respecte a NIS2? Sol·licita una demo i calcula l'estalvi amb la calculadora ROI ZTNA.