resposta a incidents
w-full h-full object-cover
Torna al Blog
Security Compliance

NIS2, DORA i la Cyber Resilience Act: què en cal fer?

19 March 2026 7 min read
Jeroen

per Jeroen Schipper

Chief Security Advisor

Què són NIS2, DORA i la CRA?

Què és NIS2 (Llei de Ciberseguretat)?

NIS2 és una directiva europea. Això significa que cada país ha de transposar aquesta directiva a la legislació nacional. A Països Baixos això es fa a través de la Llei de Ciberseguretat (Cbw).

Important saber: el termini de la UE per transposar NIS2 era el 17 d'octubre de 2024. Molts països (incloent-hi Països Baixos) encara estan treballant en aquesta transposició a la normativa nacional.

Estat a Països Baixos: la Cbw entrarà en vigor només després de l'aprovació de la Cambra Baixa i la Cambra Alta. L'esperança que el govern mateix menciona és a finals del segon trimestre de 2026, però depèn del ritme a les Càmeres.

Què és DORA?

DORA (Digital Operational Resilience Act) és un reglament europeu. Aquesta és la diferència immediata amb NIS2: un reglament s'aplica directament a tota la UE.

DORA està enfocat al sector financer (bancs, asseguradores, empreses d'inversió i més) i és aplicable des del 17 de gener de 2025.

Què és la Cyber Resilience Act (CRA)?

La Cyber Resilience Act també és un reglament europeu, però amb un enfocament diferent: no tracta principalment d'organitzacions, sinó de productes amb elements digitals (maquinari, programari i sovint també serveis “remots” associats).

La CRA està en vigor des del 10 de desembre de 2024. Les obligacions de notificació comencen l'11 de setembre de 2026 i els requisits principals s'aplicaran a partir de l'11 de desembre de 2027.

Desenvolupament actual: el 3 de març de 2026 la Comissió Europea va publicar unes directrius preliminars (“draft guidance”) per a comentaris, amb focus en, entre altres, el processament remot de dades, codi obert, períodes de suport i la coherència amb altres legislacions de la UE.

Per què la UE estableix aquestes normes?

La raó simple: som més dependents digitalment que mai, i aquesta dependència està en cadenes.

  • Un incident en un proveïdor pot afectar desenes d'organitzacions.
  • Les fallades i atacs no s'aturen a les fronteres nacionals.
  • L'impacte ja no és només “TI”: és producció, salut, pagaments, logística, serveis públics.

Per això la UE vol un nivell bàsic més alt i homogeni de resistència cibernètica, amb expectatives clares sobre mesures, notificació, supervisió i (cada cop més) demostrabilitat. Això es reflecteix en l'objectiu de NIS2 i la pressió sobre els estats membres per reforçar la resistència en organitzacions crítiques dins la societat.

A què s'adrecen principalment aquestes normes?

Àrees d'atenció dins NIS2 / Llei de Ciberseguretat

NIS2/Cbw tracta de “seguretat gestionada” per a organitzacions essencials i importants: no només tecnologia, sinó també governança, processos i cadena.

En l'explicació neerlandesa es veuen tres pilars:

  1. Deure de cura: prendre mesures adequades basades en riscos, enfocades a la continuïtat i protecció de la informació.

  2. Deure de registre: les organitzacions dins l'abast han de registrar-se (avui obligatori). El registre voluntari ja era possible des del 17 d'octubre de 2024, però serà obligatori només després de l'entrada en vigor de la Cbw.

  3. Deure de notificació (incidents significatius): en passos i amb ritme:

  • dins de 24 hores un avís primerenc,

  • dins de 72 hores una notificació de seguiment,

  • com a màxim 1 mes després de la primera notificació un informe final.

El que es veu cada cop més a la pràctica: les organitzacions que esperen “el text legal exacte” es queden enrere. La cadena de notificació, la presa de decisions i l'organització de crisi s'han d'exercitar, no només escriure.

Àrees d'atenció dins DORA

DORA està creat per a un escenari: el sector financer ha de continuar funcionant, fins i tot quan les TIC estan sota pressió.

El focus està en:

  • Gestió de riscos TIC: polítiques, controls, monitoratge, responsabilitat.

  • Gestió i notificació d'incidents: processos per controlar i notificar grans incidents TIC.

  • Proves de resistència: no una prova anual, sinó estructural i demostrable.

  • Tercers/proveïdors: control sobre subcontractació, contractes, escenaris de sortida.

Supervisió de proveïdors TIC crítics: aquesta és una tendència important. Els supervisors europeus van publicar el 18 de novembre de 2025 la primera llista de proveïdors TIC crítics designats.

En resum: DORA fa de la “gestió de proveïdors” una prioritat explícita.

Àrees d'atenció dins la CRA

La CRA porta la ciberseguretat al producte: securebydesign esdevé un requisit per vendre a la UE.

El nucli gira al voltant de:

  • Disseny segur i configuracions estàndard segures.

  • Gestió de vulnerabilitats: trobar, arreglar, comunicar.

  • Actualitzacions i suport: quant de temps un producte es manté segur i suportat?

  • Notificació de problemes: a partir de 2026 s'inicien les obligacions de report.

Claredat sobre l'abast: sobretot en programari, funcions tipus núvol i codi obert. Per això ara arriba orientació addicional de la Comissió.

Una observació pràctica: la CRA no només afecta els equips de seguretat. També la gestió de productes, desenvolupament, legal, QA i cadena de subministrament es troben de sobte en un únic repte de compliment.

Per què és important complir?

Naturalment: és legislació, així que vols evitar multes, supervisió, danys a la reputació i responsabilitats. Però hi ha tres raons que sovint pesen més que el “compliment”:

  • Continuïtat: no vols que un incident aturi el teu servei.

  • Confiança: clients i socis de cadena demanen cada cop més resistència demostrable.

  • Accés al mercat: amb la CRA, la seguretat del producte és literalment un passaport d'entrada al mercat de la UE (o almenys una condició dura de venda).

Qui inverteix ara compra tranquil·litat: menys incidents improvisats, recuperació més ràpida, millor previsibilitat.

Com començar sense ofegar-se en normes?

Si vols fer-ho pràcticament, això gairebé sempre funciona:

Determina l'abast: estàs sota NIS2/Cbw, DORA, CRA o més d'un?

  • Exposa la teva cadena crítica: quins proveïdors són “punt únic de fallada”?

  • Fes que la notificació d'incidents sigui viable: pots notificar en 24/72 hores amb la informació correcta, sense pànic?

  • Comença a recopilar evidències: no només polítiques, sinó també registres, proves, exercicis i seguiment.

  • Per a equips de producte: desenvolupa processos per a la gestió de vulnerabilitats, processos d'actualització i acords de suport en el teu cicle de vida.

Si tries una acció per aquesta setmana: fes una comprovació d'abast i prova el teu flux d'incidents (qui fa què, quan, amb quina informació). Ja estaràs més avançat que moltes organitzacions que encara “esperen la llei”.

(Aquest blog està pensat com un resum informatiu i no com un assessorament legal.)

Publicacions relacionades

DORA
Security Compliance DORA: La legislació europea per a institucions financeres també imposa requisits als proveïdors de serveis TIC
29 March 2024 7 min read
Veure totes les publicacions relacionades

Converteix la vigilància 24/7 en una veritable capacitat de resposta

Parla amb el nostre equip i descobreix com una resposta ràpida i dirigida per experts canvia la teva equació de seguretat.

Contacta amb nosaltres