NIS2 a Espanya: què exigeix la Directiva 2022/2555 i com acreditar el compliment V-PROOF

NIS2 a Espanya: què exigeix la Directiva 2022/2555 i com acreditar el compliment — V-PROOF Journal
Normativa · Ciberseguretat

NIS2 a Espanya: què exigeix la Directiva i com acreditar el compliment davant el regulador

La Directiva (UE) 2022/2555 amplia a milers d'entitats espanyoles l'obligació d'implementar mesures de ciberseguretat verificables. Ja no n'hi ha prou amb una política escrita — l'Art. 21 exigeix evidència tècnica que el CCN-CERT i l'INCIBE-CERT poden auditar.

Publicat: Juliol de 2026
Cobertura normativa: NIS2 · Art. 21 · Art. 20 · Art. 23
Categoria: Regulació
NIS2 · UE 2022/2555 Proveïdor europeu Serveis essencials

Punts clau

  • La Directiva NIS2 és de transposició obligatòria des del 17 d'octubre de 2024 i Espanya l'està incorporant a través de la nova Llei de Coordinació i Governança de la Ciberseguretat.
  • L'Art. 21 estableix deu categories de mesures tècniques obligatòries — des de gestió de riscos fins a seguretat de la cadena de subministrament — que s'han de poder acreditar davant el regulador.
  • L'Art. 20 introdueix responsabilitat personal dels òrgans de direcció: els Consells d'Administració han d'aprovar les mesures de ciberseguretat i són individualment responsables de l'incompliment.
  • L'Art. 23 exigeix notificació d'incidents significatius en 24 hores (alerta primerenca), 72 hores (notificació) i un mes (informe final) — terminis que exigeixen registres tècnics immediats.
  • V-PROOF genera evidència criptogràfica immutable de la implementació de les mesures de l'Art. 21 actiu per actiu, amb Timestamp blockchain verificable per qualsevol supervisor o auditor.
  • La convergència NIS2 + DORA afecta els sectors financer, bancari i d'infraestructures de mercats: les entitats ja subjectes a DORA han de complir, a més, NIS2 sense solapament garantit.

NIS2: de directiva de mínims a obligació d'evidència tècnica

La Directiva NIS1 (2016/1148) va ser el primer intent europeu d'harmonitzar la ciberseguretat d'infraestructures crítiques. El seu problema: deixava massa marge als Estats per establir requisits, creava fragmentació normativa i no incloïa mecanismes de verificació real del compliment. NIS2 (Directiva (UE) 2022/2555) corregeix tots aquests defectes.

Publicada el 27 de desembre de 2022 al Diari Oficial de la UE, NIS2 amplia dràsticament l'abast de NIS1: d'uns centenars d'operadors de serveis essencials identificats per cada Estat a milers d'entitats en sectors ampliats. Introdueix, a més, tres canvis estructurals que la converteixen en una normativa qualitativament diferent: la responsabilitat personal de l'alta direcció, terminis de notificació d'incidents molt més exigents, i l'obligació expressa de mesures verificables —no només declarades.

La diferència entre NIS1 i NIS2

NIS1 preguntava: "té vostè una política de seguretat?" NIS2 pregunta: "pot demostrar que les seves mesures de seguretat funcionen i que la seva direcció les ha aprovat formalment?" És el mateix salt que hi ha entre un manual de procediments i una evidència tècnica verificable.

A Espanya, la transposició es realitza a través de la nova Llei de Coordinació i Governança de la Ciberseguretat, en tramitació parlamentària al llarg de 2025 i 2026. Les autoritats competents seran el CCN-CERT (per a les Administracions Públiques i el sector privat d'infraestructures crítiques sota el CNI) i l'INCIBE-CERT (per al sector privat en general). Les sancions previstes arriben als 10 milions d'euros o el 2% de la facturació global per a entitats essencials, i 7 milions o l'1,4% per a entitats importants.

Qui està obligat: entitats essencials i importants

NIS2 divideix les entitats en dues categories amb requisits i règim sancionador diferenciat. La classificació depèn del sector, la mida (empreses mitjanes i grans) i la criticitat per a la societat o l'economia.

Entitats essencials · Règim reforçat
  • Energia (electricitat, gas, petroli, calefacció, hidrogen)
  • Transport (aeri, ferroviari, marítim, per carretera)
  • Banca i infraestructures de mercats financers
  • Sector sanitari (hospitals, laboratoris, fabricants de productes crítics)
  • Aigua potable i aigües residuals
  • Infraestructures digitals (IXPs, DNS, TLD, cloud, CDN, datacenters)
  • Gestió de serveis TIC (MSPs, MSSPs)
  • Administració Pública central i regional
  • Espai
Entitats importants · Règim estàndard
  • Serveis postals i de missatgeria
  • Gestió de residus
  • Fabricació de productes químics
  • Producció, transformació i distribució d'aliments
  • Fabricació (dispositius mèdics, electrònica, maquinària, vehicles)
  • Proveïdors de serveis digitals (mercats en línia, cercadors, xarxes socials)
  • Instituts de recerca
  • Proveïdors TIC de les entitats anteriors

La classificació no és només teòrica: les entitats essencials estan subjectes a supervisió ex ante (el regulador pot sol·licitar documentació sense haver detectat cap incident previ), mentre que les importants se supervisen ex post. En ambdós casos, però, l'obligació de disposar d'evidència tècnica verificable és idèntica.

El calendari NIS2: on som i què queda per venir

27 de desembre de 2022
Publicació al DOUE
La Directiva (UE) 2022/2555 es publica al Diari Oficial de la UE. Deroga la Directiva NIS1 (2016/1148).
17 d'octubre de 2024
Data límit de transposició als Estats membres
Els Estats membres havien d'haver transposat la NIS2 al seu dret nacional. Espanya, com diversos altres Estats, no va completar la transposició en el termini establert — una situació que no eximeix les entitats de complir els requisits materials de la Directiva.
2025 – 2026
Tramitació parlamentària a Espanya
La Llei de Coordinació i Governança de la Ciberseguretat avança al Parlament. Les entitats dels sectors afectats han de preparar el seu compliment sense esperar que la llei sigui aprovada: l'efecte directe de la Directiva ja és exigible.
AVUI — 2026
Període de major risc d'incompliment
Les entitats que no hagin implementat les mesures de l'Art. 21 ni documentat l'aprovació del Consell d'Administració (Art. 20) estan en incompliment. L'INCIBE i el CCN-CERT han iniciat activitats de sensibilització i primeres sol·licituds d'informació.
2026 – 2027
Primeres inspeccions formals i sancions
Un cop aprovada la llei de transposició espanyola, el CCN-CERT i INCIBE-CERT tindran competències formals d'inspecció i sanció. Les entitats sense registres tècnics verificables de les seves mesures de ciberseguretat s'enfrontaran a les sancions més elevades.

L'Art. 21 i els registres tècnics que V-PROOF genera

L'Art. 21 de NIS2 estableix que les entitats han d'adoptar mesures tècniques, operatives i organitzatives "adequades i proporcionades" per gestionar els riscos de ciberseguretat. Els RTS i ITS que l'ENISA i la Comissió estan desenvolupant especificaran quin nivell d'evidència serà exigible. Aquests són els quatre pilars de l'Art. 21 per als quals V-PROOF genera evidència directa:

Art. 21(2)(a) — Anàlisi de riscos
Registres verificables de la implementació de controls de gestió de riscos
Les entitats han de demostrar que les seves polítiques d'anàlisi de riscos no són només documents — sinó controls implementats i operatius. La diferència entre "tenim una política" i "podem acreditar que funciona" és exactament el buit que V-PROOF tanca.
Evidència V-PROOF V-Seal Core genera un segell criptogràfic de cada control de seguretat implementat: quina mesura es va establir, qui la va aprovar, quan i amb quin estat. El Hash SHA-256 ancorat en blockchain és verificable per l'INCIBE-CERT o el CCN-CERT sense necessitat d'accés als sistemes interns.
Art. 21(2)(b) — Gestió d'incidents
Logs immutables d'incidents amb Timestamp blockchain per a notificacions Art. 23
L'Art. 23 exigeix alerta primerenca en 24 hores, notificació en 72 i informe final en un mes. Per complir aquests terminis amb credibilitat, l'entitat necessita registres tècnics del moment exacte en què va detectar l'incident — un registre que sigui tècnicament inalterable retroactivament.
Evidència V-PROOF Cada incident registrat a través de V-PROOF rep un Timestamp blockchain immutable. L'entitat pot demostrar davant del regulador exactament quan va detectar l'incident i quines accions es van prendre — amb evidència criptogràfica que no pot ser alterada post-facto.
Art. 21(2)(d) — Cadena de subministrament
Traçabilitat de la cadena de subministrament de programari amb evidència verificable
La NIS2 introdueix explícitament la seguretat de la cadena de subministrament com a obligació, incloent-hi els aspectes de seguretat del programari. Les entitats que desenvolupen o integren programari de tercers han de poder acreditar la traçabilitat i la integritat d'aquest programari davant del regulador.
Evidència V-PROOF Git Integration segella criptogràficament cada commit, versió i desplegament del programari utilitzat en sistemes crítics. La cadena de custòdia del codi és verificable commit a commit — exactament el nivell de granularitat que els supervisors de la NIS2 poden requerir.
Art. 20 — Governança de la direcció
Evidència d'aprovació formal per l'òrgan de direcció
L'Art. 20 és una novetat estructural de la NIS2: els òrgans de direcció no només han d'aprovar les mesures de ciberseguretat — són personalment responsables si l'entitat incompleix. L'aprovació del Consell ha de ser documentada i demostrable.
Evidència V-PROOF V-PROOF registra la identitat de l'aprovador, el seu rol institucional i el Timestamp exacte de cada aprovació de mesures de seguretat. L'òrgan de direcció té evidència criptogràfica d'haver exercit la seva funció de governança — defensable davant de qualsevol procediment de responsabilitat personal.

Cobertura V-PROOF per obligació NIS2

Article NIS2 Obligació Cobertura Mòdul V-PROOF
Art. 20 — Governança dels òrgans de direcció
Art. 20Responsabilitat direcció Evidència d'aprovació formal de mesures de ciberseguretat per l'òrgan de govern ✓ Completa V-Seal Core
Art. 21 — Mesures de gestió de riscos de ciberseguretat
Art. 21(2)(a)Anàlisi de riscos Registres verificables de controls de gestió de riscos implementats i operatius ✓ Completa V-Seal Core
Art. 21(2)(b)Gestió d'incidents Logs immutables d'incidents amb Timestamp exacte de detecció, classificació i resposta ✓ Completa V-Seal Core
Art. 21(2)(c)Continuïtat d'activitats Evidència de proves de continuïtat i recuperació davant desastres realitzades ◐ Parcial V-Seal Core
Art. 21(2)(d)Cadena de subministrament Traçabilitat de la cadena de subministrament de programari amb evidència verificable per component ✓ Completa Git Integration
Art. 21(2)(e)Desenvolupament i manteniment Historial verificable de canvis en sistemes TIC crítics — gestió de vulnerabilitats ✓ Completa Git Integration
Art. 21(2)(f)Eficàcia de mesures Registres que demostrin que s'avalua l'eficàcia de les mesures de ciberseguretat ◐ Parcial V-Seal Core
Art. 21(2)(h)Criptografia Evidència de l'ús de criptografia en la protecció d'actius crítics ✓ Completa V-Seal Core
Art. 21(2)(g)(j)Formació i accés Polítiques de formació en ciberhigiene i control d'accessos — Responsabilitat del client Procés organitzatiu intern
Art. 23 — Notificació d'incidents significatius
Art. 2324h / 72h / 1 mes Registre immutable del moment de detecció de l'incident i accions de resposta preses ✓ Completa V-Seal Core
Convergència NIS2 + EU AI Act — Per a entitats que utilitzen IA en infraestructures crítiques
NIS2 Art. 21(2)(a)+ EU AI Act Art. 14 Supervisió humana verificable en sistemes d'IA que operen infraestructures crítiques ✓ Completa AI Orchestrator V-Proof AI

◐ Parcial = V-PROOF certifica que l'activitat es va realitzar; el disseny de l'activitat (el pla de continuïtat, l'avaluació d'eficàcia) és responsabilitat de l'entitat.

NIS2 i DORA: obligacions diferents sobre les mateixes entitats

Un error habitual en els equips de compliance del sector financer és assumir que el compliment de DORA implica automàticament el compliment de NIS2. No és així. Són dos marcs amb abasts, autoritats competents i requisits específics diferents — i la intersecció no és total.

Les entitats bancàries, d'infraestructures de mercats financers i d'infraestructures digitals estan en l'àmbit d'aplicació de ambdues normatives. DORA és un reglament d'aplicació directa gestionat per l'EBA, l'ESMA i l'EIOPA. NIS2 és una directiva transposada per cada Estat, gestionada a Espanya pel CCN-CERT i l'INCIBE-CERT. Les sancions són independents i acumulables.

La diferència pràctica per al CISO

DORA se centra en la resiliència operativa dels sistemes TIC financers i en els riscos de proveïdors tercers. NIS2 cobreix a més la seguretat de tota la cadena de subministrament (no només proveïdors TIC crítics), introdueix la responsabilitat personal de la direcció de forma explícita, i aplica a sectors com la salut, l'energia o l'administració pública que DORA no toca. Una entitat bancària necessita complir ambdós. Una sola integració V-PROOF cobreix els requisits d'evidència tècnica dels dos marcs simultàniament.

Sobirania de dades · Rellevància NIS2

NIS2 i la seguretat de la cadena de subministrament de proveïdors TIC

L'Art. 21(2)(d) de NIS2 exigeix que les entitats avaluïn la seguretat de la seva cadena de subministrament TIC, incloent-hi els aspectes de seguretat relacionats amb les relacions entre cada entitat i els seus proveïdors directes. Aquesta obligació inclou avaluar el marc jurídic sota el qual opera el proveïdor TIC.

Un proveïdor de plataforma d'AI Governance o GRC amb seu als Estats Units està subjecte a la CLOUD Act (18 U.S.C. § 2713), que permet a les autoritats americanes requerir accés a dades gestionades per aquest proveïdor independentment d'on estiguin allotjades. Una entitat essencial sota NIS2 que utilitzi aquest tipus de proveïdor per gestionar la seva documentació de compliment introdueix un risc jurídic en la seva cadena de subministrament que el propi Art. 21(2)(d) obliga a identificar i mitigar.

V-PROOF té seu legal a Espanya. Els seus clients el poden incloure en la seva avaluació de cadena de subministrament NIS2 amb la garantia que opera sota sobirania de la UE, sense exposició al marc jurídic americà.

La sobirania completa davant el CLOUD Act també depèn de la infraestructura cloud sobre la qual el client desplega V-PROOF. Per a entitats essencials NIS2, recomanem combinar-ho amb proveïdors cloud de seu legal europea.
Anàlisi estratègica

V-PROOF davant NIS2

Fortaleses, casos d'ús regulatori i límits de l'abast

F
Fortaleses · El que V-PROOF aporta a NIS2
  • Evidència criptogràfica que les mesures de l'Art. 21 estan implementades i operatives — no només declarades en una política Art. 21(2)(a) — Gestió de riscos
  • Registre immutable del moment exacte de detecció i classificació d'incidents — essencial per acreditar el compliment dels terminis de l'Art. 23 Art. 21(2)(b) + Art. 23
  • Traçabilitat commit a commit de la cadena de subministrament de programari crític — el nivell de granularitat que els supervisors exigiran sota l'Art. 21(2)(d) Art. 21(2)(d) — Git Integration
  • Registre de l'aprovació formal de l'òrgan de direcció: el Consell té evidència criptogràfica d'haver exercit la seva funció de governança NIS2 Art. 20 — Responsabilitat direcció
  • Proveïdor amb seu legal a Espanya: l'avaluació de cadena de subministrament TIC de l'Art. 21(2)(d) no genera risc CLOUD Act Art. 21(2)(d) — Cadena de subministrament
  • Cobertura dual NIS2 + DORA + EU AI Act en una sola integració per a entitats en sectors de doble obligació Convergència normativa 2025–2027
On actua · Casos d'ús regulatori
  • Operadors de serveis essencials en energia, transport i salut que necessiten evidència tècnica verificable de l'Art. 21 abans de la primera inspecció Entitats essencials — Art. 3
  • Infraestructures digitals (centres de dades, proveïdors de núvol europeus, MSPs) que han d'acreditar la seva seguretat davant clients NIS2 Secció 8 — Infraestructures digitals
  • Administracions Públiques centrals i regionals preparant el seu compliment sota la supervisió del CCN-CERT Secció 10 — Sector públic
  • Consells d'Administració d'entitats essencials que necessiten documentar la seva funció de governança NIS2 davant possibles procediments de responsabilitat personal Art. 20 — Responsabilitat personal
  • Entitats bancàries i financeres amb doble obligació NIS2 + DORA que cerquen una sola integració per a ambdós marcs Convergència NIS2 + DORA
Fora d'abast · Responsabilitat del client
  • Notificació formal d'incidents a l'INCIBE-CERT o CCN-CERT (Art. 23): V-PROOF genera el registre segellat de l'incident; la notificació és responsabilitat de l'equip de compliance. Art. 23 — Notificació
  • Disseny del pla de continuïtat de negoci i recuperació davant desastres (Art. 21(2)(c)): V-PROOF certifica que les proves es van realitzar, no dissenya el pla. Art. 21(2)(c) — Continuïtat
  • Formació del personal en ciberhigiene (Art. 21(2)(g)): V-PROOF pot segellar l'evidència que la formació es va realitzar, no la imparteix. Art. 21(2)(g) — Formació
  • Avaluació de riscos de tercers (Art. 21(2)(d) — part organitzativa): V-PROOF certifica els resultats i les mesures implementades; l'avaluació de riscos és responsabilitat de l'entitat. Art. 21(2)(d) — Avaluació
Diagnòstic NIS2

Pot la seva entitat demostrar davant el CCN-CERT o l'INCIBE-CERT que les seves mesures de ciberseguretat funcionen?

V-PROOF ofereix un diagnòstic estratègic de 48 hores que mapeja les obligacions NIS2 aplicables a la seva entitat, identifica els buits d'evidència tècnica i defineix l'abast d'integració per als Arts. 20, 21 i 23.

Sol·licitar Diagnòstic Estratègic NIS2

Fonts i referències normatives

  1. Directiva (UE) 2022/2555 del Parlament Europeu i del Consell, de 14 de desembre de 2022 — EUR-Lex CELEX:32022L2555
  2. ENISA — NIS2 Directrius d'Implementació, 2024 — enisa.europa.eu
  3. INCIBE — Guia de transposició NIS2 per al sector privat espanyol — incibe.es
  4. CCN-CERT — Guia d'implementació NIS2 per a l'Administració Pública espanyola — ccn-cert.cni.es
  5. Comissió Europea — Informe sobre l'estat de transposició de NIS2 als Estats membres, 2025 — digital-strategy.ec.europa.eu
  6. ENISA — Threat Landscape Report 2025 (referències a sectors NIS2) — enisa.europa.eu
  7. Reglament (UE) 2022/2554 (DORA) — referència de convergència amb NIS2 per al sector financer — EUR-Lex
Anterior
Anterior

RGPD i ENS en l'era de la IA: com demostrar accountability amb evidència criptogràfica V-PROOF

Següent
Següent

V-PROOF: la primera plataforma espanyola de governança IA que converteix el compliance en prova criptogràfica