La meva empresa està obligada a complir la Directiva NIS2?
De Carles Latorre el 13.7.2026

La Directiva NIS2 amplia el nombre d'organitzacions obligades a implantar mesures de ciberseguretat a tota la Unió Europea. El seu objectiu és reforçar la protecció dels sectors essencials i millorar la resiliència davant d'unes amenaces digitals cada vegada més freqüents i sofisticades.
Tot i que moltes organitzacions creuen que aquesta normativa només afecta grans companyies o infraestructures crítiques, la realitat és ben diferent. La NIS2 amplia considerablement el nombre d'empreses obligades a implantar mesures de ciberseguretat i, en molts casos, també arriba als proveïdors que formen part de la cadena de subministrament.
Per això, una de les preguntes més habituals entre els responsables d'empresa és: la meva organització està obligada a complir la NIS2?
Quines empreses han de complir la NIS2?
Com a norma general, la directiva s'aplica a organitzacions mitjanes i grans que operen en sectors considerats essencials o importants per al funcionament de l'economia i la societat.
Habitualment, una empresa estarà obligada quan:
- Té 50 o més treballadors.
- Supera els 10 milions d'euros de facturació anual o de balanç general.
- Desenvolupa la seva activitat en algun dels sectors inclosos a la directiva.
Tanmateix, hi ha excepcions. Algunes petites empreses també poden quedar subjectes a la NIS2 quan presten serveis crítics, formen part de la cadena de subministrament d'una organització essencial o la seva activitat té un impacte rellevant sobre serveis considerats estratègics.
Quins sectors estan afectats per la Directiva NIS2?
La Directiva NIS2 distingeix entre sectors essencials i sectors importants. Tots dos han d'implantar mesures de ciberseguretat, tot i que el nivell de supervisió pot variar.
|
Sectors essencials |
Sectors importants |
|
Energia |
Indústria manufacturera |
|
Transport |
Alimentació |
|
Banca i serveis financers |
Empreses químiques |
|
Sanitat |
Gestió de residus |
|
Aigua potable i aigües residuals |
Serveis postals i logística |
|
Infraestructures digitals |
Plataformes digitals i comerç electrònic |
|
Proveïdors de serveis TIC i de ciberseguretat |
Centres de recerca |
|
Administracions públiques |
|
Si la teva organització desenvolupa la seva activitat en algun d'aquests sectors i compleix els criteris de mida establerts per la directiva, és recomanable analitzar si està obligada a complir la NIS2.
Què exigeix la NIS2 a les empreses obligades?
La directiva no es limita a exigir eines de seguretat. Exigeix implantar una estratègia de gestió del risc que permeti prevenir, detectar i respondre davant d'incidents de ciberseguretat.
Entre les principals obligacions destaquen:
- Implantar polítiques de seguretat de la informació.
- Gestionar els riscos tecnològics de manera continuada.
- Protegir la cadena de subministrament i avaluar els proveïdors.
- Disposar de plans de continuïtat del negoci i de recuperació.
- Gestionar i notificar els incidents de seguretat dins dels terminis establerts.
- Formar i implicar la direcció en la gestió de la ciberseguretat.
La responsabilitat ja no recau únicament en el departament d'IT. La mateixa direcció de l'empresa ha de supervisar el compliment d'aquestes mesures.
Què passa si una empresa no compleix la NIS2?
No complir la NIS2 pot tenir un impacte molt més gran que una sanció administrativa. La directiva preveu multes de fins a 10 milions d'euros o el 2 % de la facturació anual mundial, aplicant-se la quantitat més elevada. A més, en determinats supòsits, l'alta direcció pot assumir responsabilitats per una gestió insuficient dels riscos de ciberseguretat.
Més enllà de l'aspecte econòmic, una organització que no estigui preparada incrementa significativament el risc de patir incidents capaços d'interrompre la seva activitat, afectar la confiança de clients i proveïdors i dificultar el compliment dels requisits exigits per altres empreses de la seva cadena de subministrament.
En definitiva, el cost més elevat no sol ser la sanció, sinó l'impacte que un ciberatac pot tenir sobre la continuïtat del negoci, la reputació de l'organització i la seva capacitat per continuar operant amb normalitat.
Com preparar-se per complir la NIS2?
Adaptar-se a la NIS2 no consisteix únicament a implantar eines de seguretat. El procés comença analitzant el nivell de maduresa de l'organització, identificant riscos i definint un pla d'adequació que permeti complir els requisits de la directiva de manera progressiva.
Per a moltes organitzacions, els primers passos solen ser:
- Avaluar el nivell actual de seguretat.
- Identificar vulnerabilitats i riscos.
- Revisar les mesures de protecció existents.
- Definir procediments de resposta davant d'incidents.
- Supervisar de manera continuada la infraestructura tecnològica.
- Garantir la seguretat dels proveïdors i tercers.
Com més aviat s'iniciï aquest procés, més senzilla serà l'adaptació i menor serà l'impacte sobre l'activitat de l'empresa.
Per què comptar amb ESED per adaptar-se a la NIS2?
Adaptar-se a la Directiva NIS2 va molt més enllà d'implantar eines de seguretat. Requereix analitzar el nivell de maduresa de l'organització, identificar riscos, definir procediments i aplicar les mesures tècniques i organitzatives exigides per la normativa.
A ESED acompanyem les empreses durant tot el procés d'adequació a la NIS2. Analitzem la situació actual, identifiquem els requisits aplicables i dissenyem un pla d'acció per ajudar a complir la normativa i reforçar la ciberseguretat de l'organització.
El nostre objectiu no és únicament facilitar el compliment normatiu, sinó ajudar que cada empresa disposi d'un entorn més segur, resilient i preparat per garantir la continuïtat del negoci davant de les amenaces actuals.
També et pot agradar
Històries relacionades

Ciberseguretat en empreses del sector beauty: impacte real en el negoci, costos i compliment de la NIS2/ENS

NIS2: allò que ja sabem (i el que pots fer) mentre arriba la llei



