RegTech

NIS2 Entidades Esenciales vs Importantes: Lo Que Tu Organización Debe Saber (2026)

Gerard Maymó
17 de juny del 2026
8 min read
Compliance officer reviewing NIS2 essential entity obligations on screen
RegTech · NIS2

NIS2 Entitats Essencials vs Importants: El Que La Teva Organització Ha de Saber (2026)

La Directiva NIS2 (UE 2022/2555, transposada a Espanya pel RDL 3/2025 i en vigor des de l'octubre de 2024) crea dos nivells d'entitats regulades: Entitats Essencials (EE) i Entitats Importants (EI). La distinció és fonamental perquè les EE s'enfronten a obligacions més estrictes, supervisió proactiva i multes de fins a 10 milions d'euros o el 2% de la facturació global. Aquesta guia explica quin nivell s'aplica a la teva organització i què has d'implementar ara.

10 M€ o el 2%

"Multa màxima per a Entitats Essencials en virtut de NIS2 per no implementar les mesures de gestió del risc de ciberseguretat requerides — el que sigui superior."

— Directiva NIS2, art. 34(4), UE 2022/2555

Quan va entrar en vigor NIS2 i com s'ha transposat?

La Directiva UE 2022/2555 (NIS2) va ser adoptada el 14 de desembre de 2022, substituint la Directiva NIS1 original (2016/1148). NIS2 va ampliar substancialment l'abast dels sectors regulats, va introduir obligacions més estrictes i va crear una responsabilitat més clara per a la direcció superior. Els estats membres havien de transposar NIS2 al dret nacional el 17 d'octubre de 2024.

A Espanya, la transposició es va fer a través del Reial Decret-Llei 3/2025, que va entrar en vigor el març del 2025. Les autoritats nacionals competents són el CCN-CERT (per al sector públic i les infraestructures crítiques) i l'INCIBE-CERT (per al sector privat). A Catalunya, les empreses han de complir el RDL 3/2025 i comunicar-se amb les autoritats nacionals competents, sens perjudici de la tasca de l'Agència de Ciberseguretat de Catalunya en la protecció de les infraestructures crítiques catalanes.

Entitats Essencials vs Entitats Importants: la distinció clau

NIS2 divideix les organitzacions regulades en dues categories. Les Entitats Essencials (EE) són generalment organitzacions grans que operen en els sectors més crítics (Annex I). Les Entitats Importants (EI) són organitzacions mitjanes en sectors de l'Annex I, o organitzacions de qualsevol mida en sectors d'alta criticitat de l'Annex II. Les conseqüències pràctiques d'aquesta classificació són significatives.

CriteriEntitat Essencial (EE)Entitat Important (EI)
Model de supervisióProactiu — auditories i inspeccions ex anteReactiu — acció supervisora activada per evidència d'incompliment
Multa màxima10 M€ o el 2% de la facturació global7 M€ o l'1,4% de la facturació global
Termini de notificació d'incidentsAvís previ 24h → notificació 72h → informe final 1 mesMateixos terminis
AuditoriesAuditories periòdiques obligatòries per l'autoritat nacionalAuditories només a petició o davant sospita d'incompliment
Responsabilitat de la direccióResponsabilitat personal; formació en ciberseguretat obligatòriaResponsabilitat personal; formació recomanada
Mesures de risc (art. 21)Les 10 mesures obligatòries — abast completLes 10 mesures obligatòries — implementació proporcional
Requisits de cadena de subministramentHa d'avaluar i vincular contractualment els proveïdors directesHa d'avaluar els proveïdors directes; vinculació contractual recomanada
Coordinació transfrontereraHa de designar punt de contacte; participació proactiva a EU-CyCLONePunt de contacte recomanat; participació reactiva

Quins sectors estan coberts?

NIS2 utilitza dos annexos per definir l'abast. L'Annex I cobreix els sectors d'alta criticitat, on els grans operadors es classifiquen com a Entitats Essencials: Energia (electricitat, calefacció de districte, petroli, gas, hidrogen), Transport (aeri, ferroviari, marítim, per carretera), Banca, Infraestructura dels mercats financers, Sanitat, Aigua potable, Aigues residuals, Infraestructura digital (IXPs, DNS, registres de TLD, computació en núvol, centres de dades, CDNs, serveis de confiança, comunicacions electròniques), Gestió de serveis TIC (serveis gestionats, serveis de seguretat gestionats), Espai i Administració pública.

L'Annex II cobreix altres sectors crítics on les organitzacions es classifiquen generalment com a Entitats Importants independentment de la seva mida: Serveis postals i de missatgeria, Gestió de residus, Fabricació, producció i distribució de productes químics, Producció, processament i distribució d'aliments, Fabricació (dispositius mèdics, ordinadors, equips elèctrics, maquinària, vehicles de motor, equips de transport), Proveïdors digitals (mercats en línia, motors de cerca en línia, plataformes de xarxes socials) i Organitzacions d'investigació.

La regla de llindar de mida i les excepcions crítiques

La regla de mida general de NIS2 és directa. Als sectors de l'Annex I: les organitzacions que siguin grans empreses (250 o més empleats, o facturació anual superior a 50 M€ i balanç anual superior a 43 M€) es classifiquen com a Entitats Essencials. Les organitzacions que siguin mitjanes empreses (50–249 empleats) en els mateixos sectors es classifiquen com a Entitats Importants.

Als sectors de l'Annex II: les empreses mitjanes i grans es classifiquen com a Entitats Importants independentment de quin Annex hi caiguin.

EXCEPCIÓ CRÍTICA — sempre Essencial independentment de la mida: Certes entitats es classifiquen automàticament com a Entitats Essencials independentment del seu nombre d'empleats o facturació. Aquestes inclouen: proveïdors de xarxes públiques de comunicació electrònica; proveïdors qualificats de serveis de confiança; registres de noms de TLD i proveïdors de serveis DNS; proveïdors de serveis de computació en núvol, serveis de centres de dades, xarxes de distribució de continguts, serveis gestionats i serveis de seguretat gestionats; operadors de serveis essencials (OES) ja designats en virtut de NIS1; entitats identificades com a crítiques per un Estat membre en virtut d'altra legislació (p. ex. DORA, Directiva SRI); únics proveïdors d'un servei crític en un Estat membre; i entitats d'administració pública a nivell de govern central.

Que han d'implementar les Entitats Essencials? Art. 21 NIS2

L'article 21 de NIS2 estableix deu categories de mesures de gestió del risc de ciberseguretat. Tant les Entitats Essencials com les Importants han d'implementar les deu, però s'espera que les EE les implementin a un estàndard més alt i seran auditades proactivament per verificar el compliment:

a

Anàlisi de riscos i polítiques de seguretat de la informació

Metodologia documentada d'avaluació de riscos, política de seguretat de la informació aprovada per la direcció superior, cicle de revisió anual.

b

Gestió d'incidents

Procediments de detecció, classificació i resposta; cadena de notificació 24h/72h/1 mes a l'autoritat nacional; revisió post-incident.

c

Continuïtat del negoci i gestió de crisis

Pla de continuïtat del negoci (BCP), pla de recuperació de desastres (DRP), proves regulars, gestió de còpies de seguretat, procediments de comunicació de crisi.

d

Seguretat de la cadena de subministrament

Avaluació de les pràctiques de ciberseguretat dels proveïdors directes i proveïdors de serveis; clàusules de seguretat contractuals; directrius de cadena de subministrament de l'ENISA (des. 2023) com a marc de referència.

e

Seguretat de xarxes i sistemes d'informació

Gestió de vulnerabilitats, gestió de pedaços, segmentació de xarxa, detecció/prevenció d'intrusions, pràctiques de desenvolupament segur.

f

Higiene cibernètica i formació en ciberseguretat

Estàndards bàsics de seguretat per a tot el personal; simulació regular de phishing; formació en ciberseguretat basada en rols; programa de sensibilització.

g

Polítiques de criptografia i xifratge

Política d'ús de controls criptogràfics; xifratge de dades en repòs i en trànsit; procediments de gestió de claus alineats amb les directrius de l'ENISA.

h

Seguretat de recursos humans, control d'accés i gestió d'actius

Verificació d'antecedents, control d'accés basat en rols (RBAC), procés d'altes/baixes/modificacions, inventari d'actius, gestió d'accés privilegiat.

i

Autenticació multifactor i comunicacions segures

MFA obligatori per a tot accés administratiu i accés remot; estacions de treball d'accés privilegiat; comunicacions de veu i text xifrades per a operacions sensibles.

j

Seguretat física i ambiental

Controls d'accés físic a sistemes de xarxa i informació; protecció de centres de dades i sales de servidors; controls ambientals (incendi, inundació, energia).

Responsabilitat de la direcció en virtut de l'art. 20 NIS2

L'article 20 de NIS2 introdueix un canvi significatiu respecte a NIS1: la direcció superior és personalment responsable dels incompliments de NIS2. Els òrgans de govern tant de les Entitats Essencials com de les Importants han d'aprovar les mesures de gestió del risc de ciberseguretat, supervisar la seva implementació i poden ser declarats personalment responsables si l'entitat incompleix.

De manera crítica, els membres de la direcció de les Entitats Essencials estan obligats a completar formació en ciberseguretat per adquirir coneixements i habilitats suficients per identificar riscos i avaluar pràctiques de ciberseguretat. Aquesta responsabilitat no es pot delegar completament al CISO o al departament de TI. Els consells d'administració que assumien que la ciberseguretat és purament un assumpte tècnic estan exposats a responsabilitat personal en virtut de NIS2.

L'obligació de registre

Totes les Entitats Essencials i Importants han de registrar-se davant l'autoritat nacional competent. A Espanya, la plataforma de registre és operada pel CCN-CERT (per a entitats del sector públic i infraestructures crítiques de l'Annex I) i l'INCIBE-CERT (per a entitats del sector privat). El termini de registre a Espanya en virtut del RDL 3/2025 va ser el 17 d'abril de 2025 per a la majoria de les entitats. No registrar-se és en si mateix un incompliment sancionable, independentment de qualsevol incompliment substantiu de ciberseguretat.

Termini de notificació d'incidents (art. 23 NIS2)

L'article 23 de NIS2 estableix un procés de notificació en tres etapes per a incidents significatius:

  • Avís previ — en 24 hores: Notificar al CSIRT nacional o l'autoritat competent que s'ha produït un incident significatiu. Indicar si se sospita que és maliciós i si pot tenir impacte transfronterer.
  • Notificació de l'incident — en 72 hores: Proporcionar una avaluació inicial de l'incident incloent la seva gravetat, impacte i indicadors de compromís.
  • Informe final — en 1 mes: Presentar un informe detallat amb anàlisi de causa arrel, mesures de mitigació aplicades, avaluació de l'impacte transfronterer i lliçons apreses.

GESTIONA EL COMPLIMENT NIS2 AMB IGERAREGTECH: IgeraRegTech rastreja les teves obligacions NIS2, els terminis de notificació d'incidents i els requisits de proves — actualitzats automàticament quan canvia la regulació. El nostre mòdul NIS2 mapeja el teu perfil organitzatiu contra les disposicions del RDL 3/2025 i genera documentació d'evidència per a les mesures de l'art. 21. Descobreix IgeraRegTech

Preguntes freqüents

Si la meva organització estava regulada en virtut de NIS1, es converteix automàticament en Entitat Essencial en virtut de NIS2?

No automàticament. Els antics Operadors de Serveis Essencials (OES) en virtut de NIS1 són candidats sòlids per a la designació d'Entitat Essencial, i molts estats membres els han designat com a tals per defecte. No obstant, la classificació final depèn dels llindars de mida i les definicions de sector de NIS2, a més de qualsevol designació addicional per l'autoritat nacional competent. Has de verificar proactivament la teva classificació amb el CCN-CERT (Espanya) o l'autoritat sectorial pertinent.

Quin és el termini per complir les mesures de gestió de riscos de l'art. 21 NIS2?

L'obligació d'implementar les mesures de l'art. 21 s'aplicava des de la data de la transposició nacional — el 17 d'octubre de 2024 als estats membres que van transposar a temps, i a Espanya des de l'entrada en vigor del RDL 3/2025 el març del 2025. No existeix un període de gràcia formal. Les autoritats nacionals tenen discreció sobre els terminis d'execució, però les organitzacions que no han començat a implementar les mesures de l'art. 21 ja estan en incompliment. Cal actuar immediatament.

Pot un CEO ser declarat personalment responsable d'un incompliment de ciberseguretat NIS2?

Sí. L'art. 20 NIS2 disposa explícitament que els òrgans de govern de les Entitats Essencials i Importants poden ser declarats personalment responsables dels incompliments. Això inclou els CEOs i els membres del consell d'administració. Alguns estats membres (inclosos Alemanya i els Països Baixos) han implementat disposicions que permeten a les autoritats nacionals prohibir temporalment a individus de la direcció específics exercir funcions de gestió en entitats que siguin reincidents o infractors greus de NIS2.

Com ajuda IgeraRegTech les organitzacions a gestionar el compliment continu de NIS2?

IgeraRegTech proporciona una capa d'intel·ligència regulatòria actualitzada contínuament que mapeja el perfil de la teva organització contra els requisits de NIS2, rastreja els canvis en les transposicions nacionals i les directrius de l'ENISA, i genera documentació d'evidència per a les mesures de l'art. 21. Quan el text regulatori canvia — com un acte d'implementació nacional o noves directrius de l'ENISA — IgeraRegTech assenyala automàticament l'impacte en la teva postura de compliment i actualitza el teu registre d'obligacions. Els responsables de compliment reben alertes de terminis per a finestres de notificació d'incidents i renovacions de registre, eliminant el risc d'incompliments procedimentals.

Rastreja les teves obligacions NIS2 a múltiples entitats i jurisdiccions?

IgeraRegTech rastreja les teves obligacions NIS2, els terminis de notificació d'incidents i els requisits de proves — actualitzats automàticament quan canvia la regulació

Descobreix IgeraRegTech

Darrera actualització: juliol de 2026 | Revisat per: Equip Jurídic i RegTech d'IgeraSolutions | Fonts: Directiva UE 2022/2555 (NIS2); RDL 3/2025 Espanya; Guia d'Implementació NIS2 de l'ENISA 2024; CCN-CERT | IgeraRegTech — seguiment automatitzat del compliment NIS2.

#NIS2 essential entities#NIS2 important entities#NIS2 compliance 2026#NIS2 Spain RDL 3/2025#NIS2 cybersecurity obligations

COMPARTIR

Comparte el conocimiento con tu red