Tornar al Blog
Security Compliance

NIS2, DORA i la Cyber Resilience Act: que en cal fer?

19 de marc de 2026 per Jeroen Schipper, Chief Security Advisor

Contingut de l'article

Que son NIS2, DORA i la CRA?

Que es NIS2 (Llei de Ciberseguretat)?

NIS2 es una directiva europea. Aixo significa que cada pais ha de transposar aquesta directiva a la legislacio nacional. A Paisos Baixos aixo es fa a traves de la Llei de Ciberseguretat (Cbw).

Important saber: el termini de la UE per transposar NIS2 era el 17 d'octubre de 2024. Molts paisos (incloent-hi Paisos Baixos) encara estan treballant en aquesta transposicio a la normativa nacional.

Estat a Paisos Baixos: la Cbw entrara en vigor nomes despres de l'aprovacio de la Cambra Baixa i la Cambra Alta. L'esperanca que el govern mateix menciona es a finals del segon trimestre de 2026, pero depen del ritme a les Cameres.

Que es DORA?

DORA (Digital Operational Resilience Act) es un reglament europeu. Aquesta es la diferencia immediata amb NIS2: un reglament s'aplica directament a tota la UE. DORA esta enfocat al sector financer (bancs, asseguradores, empreses d'inversio i mes) i es aplicable des del 17 de gener de 2025.

Que es la Cyber Resilience Act (CRA)?

La Cyber Resilience Act tambe es un reglament europeu, pero amb un enfocament diferent: no tracta principalment d'organitzacions, sino de productes amb elements digitals (maquinari, programari i sovint tambe serveis "remots" associats). La CRA esta en vigor des del 10 de desembre de 2024. Les obligacions de notificacio comencen l'11 de setembre de 2026 i els requisits principals s'aplicaran a partir de l'11 de desembre de 2027.

Per que la UE estableix aquestes normes?

  • Un incident en un proveidors pot afectar desenes d'organitzacions.
  • Les fallades i atacs no s'aturen a les fronteres nacionals.
  • L'impacte ja no es nomes "TI": es produccio, salut, pagaments, logistica, serveis publics.

A que s'adrecen principalment aquestes normes?

NIS2 / Llei de Ciberseguretat

  • Deure de cura: prendre mesures adequades basades en riscos.
  • Deure de registre: les organitzacions dins l'abast han de registrar-se.
  • Deure de notificacio: avis primerenc dins de 24 hores, notificacio de seguiment dins de 72 hores, informe final com a maxim 1 mes despres.

DORA

  • Gestio de riscos TIC: politiques, controls, monitoratge, responsabilitat.
  • Gestio i notificacio d'incidents.
  • Proves de resistencia: estructural i demostrable.
  • Tercers/proveidors: control sobre subcontractacio, contractes, escenaris de sortida.

CRA

  • Disseny segur i configuracions estandard segures.
  • Gestio de vulnerabilitats: trobar, arreglar, comunicar.
  • Actualitzacions i suport durant el cicle de vida del producte.
  • Notificacio de problemes: a partir de 2026 s'inicien les obligacions de report.

Com comecar sense ofegar-se en normes?

  • Determina l'abast: estau sota NIS2/Cbw, DORA, CRA o mes d'un?
  • Exposa la teva cadena critica: quins proveidors son "punt unic de fallada"?
  • Fes que la notificacio d'incidents sigui viable en 24/72 hores.
  • Comenca a recopilar evidencies: no nomes politiques, sino tambe registres, proves i exercicis.

(Aquest blog esta pensat com un resum informatiu i no com un assessorament legal.)

Necessites ajuda amb NIS2, DORA o la CRA?

Contacta amb nosaltres Linia d'incidents 24/7