NIS2 a Espanya: què exigeix la Directiva 2022/2555 i com acreditar el compliment V-PROOF
NIS2 a Espanya: què exigeix la Directiva i com acreditar el compliment davant el regulador
La Directiva (UE) 2022/2555 amplia a milers d'entitats espanyoles l'obligació d'implementar mesures de ciberseguretat verificables. Ja no n'hi ha prou amb una política escrita — l'Art. 21 exigeix evidència tècnica que el CCN-CERT i l'INCIBE-CERT poden auditar.
Punts clau
- La Directiva NIS2 és de transposició obligatòria des del 17 d'octubre de 2024 i Espanya l'està incorporant a través de la nova Llei de Coordinació i Governança de la Ciberseguretat.
- L'Art. 21 estableix deu categories de mesures tècniques obligatòries — des de gestió de riscos fins a seguretat de la cadena de subministrament — que s'han de poder acreditar davant el regulador.
- L'Art. 20 introdueix responsabilitat personal dels òrgans de direcció: els Consells d'Administració han d'aprovar les mesures de ciberseguretat i són individualment responsables de l'incompliment.
- L'Art. 23 exigeix notificació d'incidents significatius en 24 hores (alerta primerenca), 72 hores (notificació) i un mes (informe final) — terminis que exigeixen registres tècnics immediats.
- V-PROOF genera evidència criptogràfica immutable de la implementació de les mesures de l'Art. 21 actiu per actiu, amb Timestamp blockchain verificable per qualsevol supervisor o auditor.
- La convergència NIS2 + DORA afecta els sectors financer, bancari i d'infraestructures de mercats: les entitats ja subjectes a DORA han de complir, a més, NIS2 sense solapament garantit.
NIS2: de directiva de mínims a obligació d'evidència tècnica
La Directiva NIS1 (2016/1148) va ser el primer intent europeu d'harmonitzar la ciberseguretat d'infraestructures crítiques. El seu problema: deixava massa marge als Estats per establir requisits, creava fragmentació normativa i no incloïa mecanismes de verificació real del compliment. NIS2 (Directiva (UE) 2022/2555) corregeix tots aquests defectes.
Publicada el 27 de desembre de 2022 al Diari Oficial de la UE, NIS2 amplia dràsticament l'abast de NIS1: d'uns centenars d'operadors de serveis essencials identificats per cada Estat a milers d'entitats en sectors ampliats. Introdueix, a més, tres canvis estructurals que la converteixen en una normativa qualitativament diferent: la responsabilitat personal de l'alta direcció, terminis de notificació d'incidents molt més exigents, i l'obligació expressa de mesures verificables —no només declarades.
La diferència entre NIS1 i NIS2
NIS1 preguntava: "té vostè una política de seguretat?" NIS2 pregunta: "pot demostrar que les seves mesures de seguretat funcionen i que la seva direcció les ha aprovat formalment?" És el mateix salt que hi ha entre un manual de procediments i una evidència tècnica verificable.
A Espanya, la transposició es realitza a través de la nova Llei de Coordinació i Governança de la Ciberseguretat, en tramitació parlamentària al llarg de 2025 i 2026. Les autoritats competents seran el CCN-CERT (per a les Administracions Públiques i el sector privat d'infraestructures crítiques sota el CNI) i l'INCIBE-CERT (per al sector privat en general). Les sancions previstes arriben als 10 milions d'euros o el 2% de la facturació global per a entitats essencials, i 7 milions o l'1,4% per a entitats importants.
Qui està obligat: entitats essencials i importants
NIS2 divideix les entitats en dues categories amb requisits i règim sancionador diferenciat. La classificació depèn del sector, la mida (empreses mitjanes i grans) i la criticitat per a la societat o l'economia.
- Energia (electricitat, gas, petroli, calefacció, hidrogen)
- Transport (aeri, ferroviari, marítim, per carretera)
- Banca i infraestructures de mercats financers
- Sector sanitari (hospitals, laboratoris, fabricants de productes crítics)
- Aigua potable i aigües residuals
- Infraestructures digitals (IXPs, DNS, TLD, cloud, CDN, datacenters)
- Gestió de serveis TIC (MSPs, MSSPs)
- Administració Pública central i regional
- Espai
- Serveis postals i de missatgeria
- Gestió de residus
- Fabricació de productes químics
- Producció, transformació i distribució d'aliments
- Fabricació (dispositius mèdics, electrònica, maquinària, vehicles)
- Proveïdors de serveis digitals (mercats en línia, cercadors, xarxes socials)
- Instituts de recerca
- Proveïdors TIC de les entitats anteriors
La classificació no és només teòrica: les entitats essencials estan subjectes a supervisió ex ante (el regulador pot sol·licitar documentació sense haver detectat cap incident previ), mentre que les importants se supervisen ex post. En ambdós casos, però, l'obligació de disposar d'evidència tècnica verificable és idèntica.
El calendari NIS2: on som i què queda per venir
L'Art. 21 i els registres tècnics que V-PROOF genera
L'Art. 21 de NIS2 estableix que les entitats han d'adoptar mesures tècniques, operatives i organitzatives "adequades i proporcionades" per gestionar els riscos de ciberseguretat. Els RTS i ITS que l'ENISA i la Comissió estan desenvolupant especificaran quin nivell d'evidència serà exigible. Aquests són els quatre pilars de l'Art. 21 per als quals V-PROOF genera evidència directa:
Cobertura V-PROOF per obligació NIS2
| Article NIS2 | Obligació | Cobertura | Mòdul V-PROOF |
|---|---|---|---|
| Art. 20 — Governança dels òrgans de direcció | |||
| Art. 20Responsabilitat direcció | Evidència d'aprovació formal de mesures de ciberseguretat per l'òrgan de govern | ✓ Completa | V-Seal Core |
| Art. 21 — Mesures de gestió de riscos de ciberseguretat | |||
| Art. 21(2)(a)Anàlisi de riscos | Registres verificables de controls de gestió de riscos implementats i operatius | ✓ Completa | V-Seal Core |
| Art. 21(2)(b)Gestió d'incidents | Logs immutables d'incidents amb Timestamp exacte de detecció, classificació i resposta | ✓ Completa | V-Seal Core |
| Art. 21(2)(c)Continuïtat d'activitats | Evidència de proves de continuïtat i recuperació davant desastres realitzades | ◐ Parcial | V-Seal Core |
| Art. 21(2)(d)Cadena de subministrament | Traçabilitat de la cadena de subministrament de programari amb evidència verificable per component | ✓ Completa | Git Integration |
| Art. 21(2)(e)Desenvolupament i manteniment | Historial verificable de canvis en sistemes TIC crítics — gestió de vulnerabilitats | ✓ Completa | Git Integration |
| Art. 21(2)(f)Eficàcia de mesures | Registres que demostrin que s'avalua l'eficàcia de les mesures de ciberseguretat | ◐ Parcial | V-Seal Core |
| Art. 21(2)(h)Criptografia | Evidència de l'ús de criptografia en la protecció d'actius crítics | ✓ Completa | V-Seal Core |
| Art. 21(2)(g)(j)Formació i accés | Polítiques de formació en ciberhigiene i control d'accessos | — Responsabilitat del client | Procés organitzatiu intern |
| Art. 23 — Notificació d'incidents significatius | |||
| Art. 2324h / 72h / 1 mes | Registre immutable del moment de detecció de l'incident i accions de resposta preses | ✓ Completa | V-Seal Core |
| Convergència NIS2 + EU AI Act — Per a entitats que utilitzen IA en infraestructures crítiques | |||
| NIS2 Art. 21(2)(a)+ EU AI Act Art. 14 | Supervisió humana verificable en sistemes d'IA que operen infraestructures crítiques | ✓ Completa | AI Orchestrator V-Proof AI |
◐ Parcial = V-PROOF certifica que l'activitat es va realitzar; el disseny de l'activitat (el pla de continuïtat, l'avaluació d'eficàcia) és responsabilitat de l'entitat.
NIS2 i DORA: obligacions diferents sobre les mateixes entitats
Un error habitual en els equips de compliance del sector financer és assumir que el compliment de DORA implica automàticament el compliment de NIS2. No és així. Són dos marcs amb abasts, autoritats competents i requisits específics diferents — i la intersecció no és total.
Les entitats bancàries, d'infraestructures de mercats financers i d'infraestructures digitals estan en l'àmbit d'aplicació de ambdues normatives. DORA és un reglament d'aplicació directa gestionat per l'EBA, l'ESMA i l'EIOPA. NIS2 és una directiva transposada per cada Estat, gestionada a Espanya pel CCN-CERT i l'INCIBE-CERT. Les sancions són independents i acumulables.
La diferència pràctica per al CISO
DORA se centra en la resiliència operativa dels sistemes TIC financers i en els riscos de proveïdors tercers. NIS2 cobreix a més la seguretat de tota la cadena de subministrament (no només proveïdors TIC crítics), introdueix la responsabilitat personal de la direcció de forma explícita, i aplica a sectors com la salut, l'energia o l'administració pública que DORA no toca. Una entitat bancària necessita complir ambdós. Una sola integració V-PROOF cobreix els requisits d'evidència tècnica dels dos marcs simultàniament.
NIS2 i la seguretat de la cadena de subministrament de proveïdors TIC
L'Art. 21(2)(d) de NIS2 exigeix que les entitats avaluïn la seguretat de la seva cadena de subministrament TIC, incloent-hi els aspectes de seguretat relacionats amb les relacions entre cada entitat i els seus proveïdors directes. Aquesta obligació inclou avaluar el marc jurídic sota el qual opera el proveïdor TIC.
Un proveïdor de plataforma d'AI Governance o GRC amb seu als Estats Units està subjecte a la CLOUD Act (18 U.S.C. § 2713), que permet a les autoritats americanes requerir accés a dades gestionades per aquest proveïdor independentment d'on estiguin allotjades. Una entitat essencial sota NIS2 que utilitzi aquest tipus de proveïdor per gestionar la seva documentació de compliment introdueix un risc jurídic en la seva cadena de subministrament que el propi Art. 21(2)(d) obliga a identificar i mitigar.
V-PROOF té seu legal a Espanya. Els seus clients el poden incloure en la seva avaluació de cadena de subministrament NIS2 amb la garantia que opera sota sobirania de la UE, sense exposició al marc jurídic americà.
V-PROOF davant NIS2
Fortaleses, casos d'ús regulatori i límits de l'abast
- Evidència criptogràfica que les mesures de l'Art. 21 estan implementades i operatives — no només declarades en una política Art. 21(2)(a) — Gestió de riscos
- Registre immutable del moment exacte de detecció i classificació d'incidents — essencial per acreditar el compliment dels terminis de l'Art. 23 Art. 21(2)(b) + Art. 23
- Traçabilitat commit a commit de la cadena de subministrament de programari crític — el nivell de granularitat que els supervisors exigiran sota l'Art. 21(2)(d) Art. 21(2)(d) — Git Integration
- Registre de l'aprovació formal de l'òrgan de direcció: el Consell té evidència criptogràfica d'haver exercit la seva funció de governança NIS2 Art. 20 — Responsabilitat direcció
- Proveïdor amb seu legal a Espanya: l'avaluació de cadena de subministrament TIC de l'Art. 21(2)(d) no genera risc CLOUD Act Art. 21(2)(d) — Cadena de subministrament
- Cobertura dual NIS2 + DORA + EU AI Act en una sola integració per a entitats en sectors de doble obligació Convergència normativa 2025–2027
- Operadors de serveis essencials en energia, transport i salut que necessiten evidència tècnica verificable de l'Art. 21 abans de la primera inspecció Entitats essencials — Art. 3
- Infraestructures digitals (centres de dades, proveïdors de núvol europeus, MSPs) que han d'acreditar la seva seguretat davant clients NIS2 Secció 8 — Infraestructures digitals
- Administracions Públiques centrals i regionals preparant el seu compliment sota la supervisió del CCN-CERT Secció 10 — Sector públic
- Consells d'Administració d'entitats essencials que necessiten documentar la seva funció de governança NIS2 davant possibles procediments de responsabilitat personal Art. 20 — Responsabilitat personal
- Entitats bancàries i financeres amb doble obligació NIS2 + DORA que cerquen una sola integració per a ambdós marcs Convergència NIS2 + DORA
- Notificació formal d'incidents a l'INCIBE-CERT o CCN-CERT (Art. 23): V-PROOF genera el registre segellat de l'incident; la notificació és responsabilitat de l'equip de compliance. Art. 23 — Notificació
- Disseny del pla de continuïtat de negoci i recuperació davant desastres (Art. 21(2)(c)): V-PROOF certifica que les proves es van realitzar, no dissenya el pla. Art. 21(2)(c) — Continuïtat
- Formació del personal en ciberhigiene (Art. 21(2)(g)): V-PROOF pot segellar l'evidència que la formació es va realitzar, no la imparteix. Art. 21(2)(g) — Formació
- Avaluació de riscos de tercers (Art. 21(2)(d) — part organitzativa): V-PROOF certifica els resultats i les mesures implementades; l'avaluació de riscos és responsabilitat de l'entitat. Art. 21(2)(d) — Avaluació
Pot la seva entitat demostrar davant el CCN-CERT o l'INCIBE-CERT que les seves mesures de ciberseguretat funcionen?
V-PROOF ofereix un diagnòstic estratègic de 48 hores que mapeja les obligacions NIS2 aplicables a la seva entitat, identifica els buits d'evidència tècnica i defineix l'abast d'integració per als Arts. 20, 21 i 23.
Sol·licitar Diagnòstic Estratègic NIS2Fonts i referències normatives
- Directiva (UE) 2022/2555 del Parlament Europeu i del Consell, de 14 de desembre de 2022 — EUR-Lex CELEX:32022L2555
- ENISA — NIS2 Directrius d'Implementació, 2024 — enisa.europa.eu
- INCIBE — Guia de transposició NIS2 per al sector privat espanyol — incibe.es
- CCN-CERT — Guia d'implementació NIS2 per a l'Administració Pública espanyola — ccn-cert.cni.es
- Comissió Europea — Informe sobre l'estat de transposició de NIS2 als Estats membres, 2025 — digital-strategy.ec.europa.eu
- ENISA — Threat Landscape Report 2025 (referències a sectors NIS2) — enisa.europa.eu
- Reglament (UE) 2022/2554 (DORA) — referència de convergència amb NIS2 per al sector financer — EUR-Lex
