L’agost de 2026 marca un abans i un després per a milers de pimes catalanes. És el moment en què comencen a aplicar-se les sancions de NIS2, la nova directiva europea de ciberseguretat. I, malgrat la proximitat de la data, la majoria de gerents amb qui parlem encara no saben si la seva empresa hi està obligada.

Si tu també tens aquest dubte, aquesta guia t’ho respon en menys de cinc minuts.

Què és NIS2 i per què t’hauria d’importar

NIS2 (Directiva UE 2022/2555) és la legislació europea de ciberseguretat més ambiciosa fins ara. Substitueix la NIS1 de 2016, que afectava només unes poques centenes d’operadors essencials. NIS2 ho canvia tot: amplia els sectors obligats de 7 a 18, redueix el llindar d’empreses afectades i fa als directius personalment responsables del compliment.

A Espanya, la transposició completa s’està tramitant durant 2026, però una part ja és exigible mitjançant el Real Decret-llei 7/2025. Les inspeccions han començat i les sancions s’activen a l’agost.

A qui afecta NIS2: els tres criteris clau

NIS2 t’afecta si compleixes alhora dos requisits: pertànyer a un sector obligat i superar un cert llindar de mida. Però hi ha una tercera via —la de la cadena de subministrament— que pesca a moltes pimes que pensaven que no els tocava.

1. El sector

Entitats essencials: energia, transport, banca, infraestructures financeres, sanitat, aigua potable, aigües residuals, infraestructura digital, gestió de serveis TIC, administració pública i sector espacial.

Entitats importants: serveis postals i de missatgeria, gestió de residus, productes químics, alimentació, fabricació, proveïdors digitals i recerca.

2. La mida

Si la teva empresa té 50 empleats o més, o factura més de 10 milions d’euros, i opera en un dels 18 sectors, NIS2 t’aplica.

3. La cadena de subministrament (la trampa)

Encara que la teva empresa no arribi als llindars de mida ni operi directament en un sector obligat, pots quedar afectada com a proveïdora d’una entitat essencial. Exemple real: una pime de software amb 20 empleats que dona servei a un hospital. L’hospital, com a entitat essencial, ha d’exigir contractualment que els seus proveïdors compleixin amb mesures equivalents a NIS2.

Què has de fer si t’afecta NIS2

  • Inventari i anàlisi de riscos. Has de saber què tens (sistemes, dades, proveïdors) i quins riscos tens.
  • Mesures tècniques i organitzatives. Control d’accessos, xifratge, gestió de vulnerabilitats, còpies de seguretat verificades, segmentació de xarxa, autenticació multifactor.
  • Pla de resposta a incidents. 24 hores per alerta inicial, 72 hores per notificació intermèdia, un mes per informe final.
  • Formació del consell de direcció. NIS2 ho obliga específicament.
  • Gestió de proveïdors. Has de verificar que els teus proveïdors compleixen mesures equivalents.
  • Responsable de seguretat designat. Per a pimes, un CISO virtual extern és una opció acceptada i molt més eficient.

Les sancions

Sancions econòmiques: fins a 10 milions d’euros o el 2% de la facturació anual global per a entitats essencials. Fins a 7 milions o l’1,4% per a entitats importants.

Responsabilitat personal dels directius: els membres del consell poden ser inhabilitats temporalment de càrrecs directius.

Com t’ajudem nosaltres

A Funhelps acompanyem pimes catalanes en tot el procés de compliment de NIS2: auditoria inicial, pla d’adequació, implementació de mesures tècniques, CISO virtual des de 600 €/mes, formació del consell i manteniment anual. Estem en procés d’acreditació com a ISO 27001 Lead Auditor. 15 anys protegint empreses a Catalunya.

La pregunta és: si demà passés un incident a la teva empresa, podries demostrar que estaves complint amb NIS2?

Sol·licita la teva auditoria gratuïta

Articles relacionats: Com aprofitar el Kit Digital 2026 per protegir la teva pime · Quan necessites un CISO virtual

Saps si t’afecta NIS2? Fes el diagnòstic gratuït en 5 minuts.