La meva empresa està obligada a complir la Directiva NIS2?

De Carles Latorre el 13.7.2026

<span id="hs_cos_wrapper_name" class="hs_cos_wrapper hs_cos_wrapper_meta_field hs_cos_wrapper_type_text" style="" data-hs-cos-general-type="meta_field" data-hs-cos-type="text" >La meva empresa està obligada a complir la Directiva NIS2?</span>

La Directiva NIS2 amplia el nombre d'organitzacions obligades a implantar mesures de ciberseguretat a tota la Unió Europea. El seu objectiu és reforçar la protecció dels sectors essencials i millorar la resiliència davant d'unes amenaces digitals cada vegada més freqüents i sofisticades.

Tot i que moltes organitzacions creuen que aquesta normativa només afecta grans companyies o infraestructures crítiques, la realitat és ben diferent. La NIS2 amplia considerablement el nombre d'empreses obligades a implantar mesures de ciberseguretat i, en molts casos, també arriba als proveïdors que formen part de la cadena de subministrament.

Per això, una de les preguntes més habituals entre els responsables d'empresa és: la meva organització està obligada a complir la NIS2?

Quines empreses han de complir la NIS2?

Com a norma general, la directiva s'aplica a organitzacions mitjanes i grans que operen en sectors considerats essencials o importants per al funcionament de l'economia i la societat.

Habitualment, una empresa estarà obligada quan:

  • 50 o més treballadors.
  • Supera els 10 milions d'euros de facturació anual o de balanç general.
  • Desenvolupa la seva activitat en algun dels sectors inclosos a la directiva.

Tanmateix, hi ha excepcions. Algunes petites empreses també poden quedar subjectes a la NIS2 quan presten serveis crítics, formen part de la cadena de subministrament d'una organització essencial o la seva activitat té un impacte rellevant sobre serveis considerats estratègics.

Quins sectors estan afectats per la Directiva NIS2?

La Directiva NIS2 distingeix entre sectors essencials i sectors importants. Tots dos han d'implantar mesures de ciberseguretat, tot i que el nivell de supervisió pot variar.

Sectors essencials

Sectors importants

Energia

Indústria manufacturera

Transport

Alimentació

Banca i serveis financers

Empreses químiques

Sanitat

Gestió de residus

Aigua potable i aigües residuals

Serveis postals i logística

Infraestructures digitals

Plataformes digitals i comerç electrònic

Proveïdors de serveis TIC i de ciberseguretat

Centres de recerca

Administracions públiques

 

Si la teva organització desenvolupa la seva activitat en algun d'aquests sectors i compleix els criteris de mida establerts per la directiva, és recomanable analitzar si està obligada a complir la NIS2.

Què exigeix la NIS2 a les empreses obligades?

La directiva no es limita a exigir eines de seguretat. Exigeix implantar una estratègia de gestió del risc que permeti prevenir, detectar i respondre davant d'incidents de ciberseguretat.

Entre les principals obligacions destaquen:

  • Implantar polítiques de seguretat de la informació.
  • Gestionar els riscos tecnològics de manera continuada.
  • Protegir la cadena de subministrament i avaluar els proveïdors.
  • Disposar de plans de continuïtat del negoci i de recuperació.
  • Gestionar i notificar els incidents de seguretat dins dels terminis establerts.
  • Formar i implicar la direcció en la gestió de la ciberseguretat.

La responsabilitat ja no recau únicament en el departament d'IT. La mateixa direcció de l'empresa ha de supervisar el compliment d'aquestes mesures.

Què passa si una empresa no compleix la NIS2?

No complir la NIS2 pot tenir un impacte molt més gran que una sanció administrativa. La directiva preveu multes de fins a 10 milions d'euros o el 2 % de la facturació anual mundial, aplicant-se la quantitat més elevada. A més, en determinats supòsits, l'alta direcció pot assumir responsabilitats per una gestió insuficient dels riscos de ciberseguretat.

Més enllà de l'aspecte econòmic, una organització que no estigui preparada incrementa significativament el risc de patir incidents capaços d'interrompre la seva activitat, afectar la confiança de clients i proveïdors i dificultar el compliment dels requisits exigits per altres empreses de la seva cadena de subministrament.

En definitiva, el cost més elevat no sol ser la sanció, sinó l'impacte que un ciberatac pot tenir sobre la continuïtat del negoci, la reputació de l'organització i la seva capacitat per continuar operant amb normalitat.

Com preparar-se per complir la NIS2?

Adaptar-se a la NIS2 no consisteix únicament a implantar eines de seguretat. El procés comença analitzant el nivell de maduresa de l'organització, identificant riscos i definint un pla d'adequació que permeti complir els requisits de la directiva de manera progressiva.

Per a moltes organitzacions, els primers passos solen ser:

  • Avaluar el nivell actual de seguretat.
  • Identificar vulnerabilitats i riscos.
  • Revisar les mesures de protecció existents.
  • Definir procediments de resposta davant d'incidents.
  • Supervisar de manera continuada la infraestructura tecnològica.
  • Garantir la seguretat dels proveïdors i tercers.

Com més aviat s'iniciï aquest procés, més senzilla serà l'adaptació i menor serà l'impacte sobre l'activitat de l'empresa.

Per què comptar amb ESED per adaptar-se a la NIS2?

Adaptar-se a la Directiva NIS2 va molt més enllà d'implantar eines de seguretat. Requereix analitzar el nivell de maduresa de l'organització, identificar riscos, definir procediments i aplicar les mesures tècniques i organitzatives exigides per la normativa.

A ESED acompanyem les empreses durant tot el procés d'adequació a la NIS2. Analitzem la situació actual, identifiquem els requisits aplicables i dissenyem un pla d'acció per ajudar a complir la normativa i reforçar la ciberseguretat de l'organització.

El nostre objectiu no és únicament facilitar el compliment normatiu, sinó ajudar que cada empresa disposi d'un entorn més segur, resilient i preparat per garantir la continuïtat del negoci davant de les amenaces actuals.

Nueva llamada a la acción