NIS2: allò que ja sabem (i el que pots fer) mentre arriba la llei
De Carles Latorre el 25.6.2026

Nota de vigència. Aquest article s'ha redactat amb informació actualitzada a 25 de juny de 2026. La transposició de la NIS2 està en curs i el marc tècnic de referència s'està renovant, de manera que algunes dades poden canviar. Anirem ampliant i actualitzant aquesta informació a mesura que es publiquin novetats.
En una frase
La Directiva NIS2 ja està en vigor a escala europea i és vinculant per als estats membres, però Espanya encara no l'ha transposat al seu ordenament jurídic. És normal, per tant, que moltes organitzacions tinguin la sensació que cal esperar. La qüestió és que quedar-se de braços plegats no és l'única opció: hi ha força terreny ferm sobre el qual ja es pot començar a treballar.
Què és la NIS2 i a qui afectarà
La NIS2 és la Directiva (UE) 2022/2555, la norma europea que eleva el nivell d'exigència en ciberseguretat per a un bon nombre d'organitzacions considerades «essencials» o «importants»: energia, transport, banca, sanitat, aigua, infraestructures digitals, administració pública, fabricació de determinats productes, serveis postals, gestió de residus i uns quants sectors més.
Respecte a la primera Directiva NIS, els canvis principals són tres:
- Més organitzacions dins de l'àmbit d'aplicació, incloses empreses mitjanes dels sectors afectats.
- Responsabilitat explícita de la direcció en la governança de la ciberseguretat. Deixa de ser una qüestió exclusiva del departament d'informàtica.
- Obligacions més concretes en la gestió de riscos, la notificació d'incidents i la seguretat de la cadena de subministrament.
Si operes en algun d'aquests sectors i superes determinats llindars de mida, el més probable és que la NIS2 et sigui aplicable. Precisament, esbrinar-ho amb exactitud és el primer pas que val la pena fer.
Per què hi ha tanta incertesa ara mateix
Circula força informació imprecisa, així que convé entendre d'on prové aquesta situació:
- El termini de transposició va finalitzar el 17 d'octubre de 2024 i Espanya encara no ha adaptat la norma.
- Hi ha un avantprojecte de llei —l'Avantprojecte de llei de coordinació i governança de la ciberseguretat— aprovat pel Consell de Ministres el gener de 2025, però continua en tramitació i sense una data prevista d'aprovació.
- El CCN va retirar la versió anterior de la seva guia CCN-STIC 892, que oferia un perfil de compliment específic (PCE-NIS2) per alinear l'ENS amb la NIS2. Aquesta retirada va deixar temporalment sense un «mapa oficial certificat» aquelles organitzacions que la feien servir com a referència.
Això explica la situació d'espera. Però d'aquí a concloure que «més enllà de la directiva no hi ha res» hi ha un bon tros.
El que sí que tenim (encara que falti la llei)
El destí final encara no està completament definit, però hi ha punts de suport molt sòlids:
- La mateixa Directiva NIS2. Les seves obligacions principals ja estan definides i no canviaran en allò essencial quan es transpongui.
- El Reglament d'execució (UE) 2024/2690, que desenvolupa els requisits tècnics i metodològics de la NIS2 per a determinats sectors (proveïdors de serveis digitals i infraestructures, entre d'altres) i que s'aplica directament a tota la Unió Europea.
- L'Esquema Nacional de Seguretat (ENS, RD 311/2022) com a marc de referència. El mateix CCN ha assenyalat que una organització amb el seu sistema certificat segons l'ENS de categoria Alta, amb un abast adequat, compleix els requisits de ciberseguretat de la NIS2.
- La feina del CCN no s'ha aturat. La guia 892 no s'ha abandonat: s'està renovant. El CCN, juntament amb la Secretaria d'Estat de Telecomunicacions i Infraestructures Digitals i l'Oficina de Coordinació de Ciberseguretat, prepara una nova versió alineada amb el Reglament (UE) 2024/2690 i l'ENS. I els certificats ENS ja emesos continuen sent plenament vàlids.
En resum: el que falta és el full de ruta nacional definitiu i certificat, no pas les bases per començar a preparar-se.
Què pots començar a fer des d'ara
Són accions que no lamentaràs haver iniciat: serveixen ara i continuaran sent útils sigui quin sigui el text definitiu de la llei.
- Determinar si estàs dins de l'àmbit d'aplicació. Una anàlisi del sector i de la mida de l'organització permet aclarir si seràs una entitat «essencial» o «important», o bé si en quedes fora. És la decisió que condiciona tota la resta.
- Inventariar els teus actius i analitzar els riscos. Sense un inventari i una anàlisi de riscos és impossible establir prioritats i, a més, constitueixen la base de qualsevol marc que acabi aplicant-se.
- Implicar la direcció. Si la NIS2 la fa responsable de la governança de la ciberseguretat, com més aviat s'hi impliqui, menys presses hi haurà més endavant.
- Treballar les mesures que ja es coneixen. L'article 21 en recull diverses: gestió d'incidents, continuïtat del negoci, seguretat de la cadena de subministrament, xifratge, control d'accessos i formació. Res de tot això serà sobrer.
- Preparar la notificació d'incidents. Els terminis seran exigents, així que tenir clar amb antelació qui notifica, com i quan és una feina que convé avançar.
- Avançar cap a l'ENS. Per la relació reconeguda entre l'ENS de categoria Alta i la NIS2, adequar-se a l'ENS és una de les inversions amb menys risc de quedar obsoleta.
Què no val la pena fer encara
No convé precipitar-se: sobreinvertir abans de tenir clar l'abast —o dimensionar l'esforç sense saber encara si ets una entitat essencial, important o si quedes fora— és la millor manera de gastar més del compte o quedar-se curt.
El més assenyat és construir ara els fonaments comuns i deixar per més endavant les decisions que depenen del text definitiu.
T'ho continuarem explicant
Aquest és un àmbit que evoluciona constantment. En lloc de publicar un únic article que quedi desactualitzat, a ESED preferim mantenir aquesta informació viva: anirem publicant actualitzacions a mesura que avanci la llei, es publiqui la nova guia del CCN i es concretin els terminis. Si vols seguir aquest tema, aquest serà el teu punt de referència.
Parlem?
Si necessites saber si la NIS2 t'afecta i per on començar, a ESED acompanyem les organitzacions tant en aquest diagnòstic inicial com en tot el procés posterior. Explica'ns el teu cas i t'ajudarem a ordenar els primers passos.
També et pot agradar
Històries relacionades

Ginp, el nou troià bancari que ataca a Espanya

Ciberseguretat en empreses del sector beauty: impacte real en el negoci, costos i compliment de la NIS2/ENS


