Ajornament de notificació de ciberataques NIS2: què han de fer les empreses

Dades clau

Si la teva empresa està obligada a notificar incidents de ciberseguretat sota la normativa NIS2, el Reglament Delegat (UE) 2026/881 canvia les regles del joc: ja no n'hi ha prou amb notificar o no notificar un ciberataque. Ara existeix un procediment específic per ajornar aquesta notificació, amb condicions concretes que has de poder acreditar davant l'autoritat competent.

Aquest reglament, publicat el 20 d'abril de 2026, completa el Reglament (UE) 2024/2847 i tanca una llacuna que moltes empreses tenien en els seus protocols de resposta a incidents: quan i com es pot retardar la comunicació pública d'un atac sense incórrer en incompliment?

Què estableix aquesta normativa?

El Reglament Delegat 2026/881 especifica en quines circumstàncies relacionades amb la ciberseguretat es pot ajornar la difusió de notificacions d'incidents. Estableix dues condicions principals que han de concórrer perquè l'ajornament sigui vàlid:

• Que la divulgació immediata pogués comprometre investigacions en curs relacionades amb l'incident.
• Que la divulgació immediata pogués agreujar l'impacte de l'incident sobre l'organització o tercers.

A més, la norma fixa:

• Criteris objectius que les empreses han de complir per justificar l'ajornament.
• Procediments formals per sol·licitar i justificar l'ajornament davant les autoritats competents.
• L'obligació d'adaptar els protocols interns de gestió de crisis per incorporar aquests nous requisits.

Aquesta norma completa el marc del Reglament (UE) 2024/2847, que és la base legal sobre notificació d'incidents de ciberseguretat a la UE.

Impacte econòmic i operatiu

L'impacte d'aquesta normativa no és principalment financer directe, sinó operatiu i de risc regulatori. Les empreses afectades han d'assumir els següents costos i conseqüències:

• Revisió i actualització de protocols interns de gestió de crisis i resposta a incidents per incorporar els nous criteris i procediments d'ajornament.
• Formació d'equips de ciberseguretat, legal i direcció sobre les condicions objectives que permeten sol·licitar l'ajornament.
• Risc de sancions administratives en cas d'incompliment de les condicions establertes. La normativa no detalla imports específics de sancions en el text disponible, però el marc sancionador NIS2 és dels més exigents de la regulació europea.
• Cost reputacional i legal si s'ajorna una notificació sense complir els criteris objectius exigits i l'autoritat competent ho determina com a incompliment.

Per a les empreses que ja tenien protocols NIS2 en marxa, l'esforç principal serà actualitzar els procediments existents, no partir de zero. Per a les que encara no els tenen, aquesta normativa afegeix urgència a una adaptació que ja era obligatòria.

A qui afecta?

Aquesta normativa afecta directament a:

• Empreses i entitats obligades a notificar incidents de ciberseguretat sota la normativa NIS2.
• Sectors crítics inclosos en l'àmbit de NIS2: energia, transport, banca, infraestructures de mercats financers, sanitat, aigua potable, aigües residuals, infraestructura digital, gestió de serveis TIC, administració pública i espai.
• Operadors de serveis essencials designats per les autoritats nacionals.
• Equips de resposta a incidents (CSIRT) i responsables de ciberseguretat (CISO) de les organitzacions afectades.
• Assessors legals i consultors de ciberseguretat que assisteixen aquestes organitzacions en el compliment normatiu.

Exemple pràctic

Una empresa d'infraestructura digital subjecta a NIS2 pateix un ciberataque el dilluns al matí. El seu equip de seguretat detecta que l'atacant segueix actiu en els sistemes i que publicar la notificació podria alertar-lo i dificultar la seva identificació i captura, agravant l'impacte de l'incident.

Sota el Reglament 2026/881, aquesta empresa pot sol·licitar l'ajornament de la notificació pública, però ha de:

1. Acreditar davant l'autoritat competent que es compleixen els criteris objectius establerts en el reglament (investigació en curs o risc d'agravament de l'impacte).
2. Seguir el procediment formal de sol·licitud previst en la norma.
3. Tenir aquest procediment ja documentat en el seu protocol intern de gestió de crisis, que ha d'haver estat adaptat prèviament.

Si l'empresa no pot acreditar aquestes condicions o no segueix el procediment correcte, l'ajornament no serà vàlid i podrà enfrontar-se a sancions administratives.

Què han de fer les empreses ara?

1. Identificar si la teva empresa està en l'àmbit NIS2: Verifica si la teva organització és un operador de serveis essencials o una entitat important segons la Directiva NIS2 i la seva transposició nacional.
2. Revisar els protocols interns de gestió de crisis: Incorpora els nous criteris objectius i procediments de sol·licitud d'ajornament que estableix el Reglament 2026/881.
3. Documentar els criteris d'ajornament: Prepara plantilles i checklists interns que permetin acreditar davant l'autoritat competent que concorren les condicions per ajornar una notificació.
4. Formar els equips implicats: CISO, equip legal, direcció i qualsevol persona implicada en la resposta a incidents ha de conèixer quan i com sol·licitar l'ajornament.
5. Revisar els acords amb proveïdors i tercers: Si externalitzes la gestió d'incidents, assegura't que els teus proveïdors també coneixen i apliquen aquests nous procediments.
6. Consultar la data d'entrada en vigor: La data exacta no ha estat especificada en la publicació disponible. Monitoritza la font oficial a EUR-Lex per confirmar el termini d'aplicació i no arribar tard a l'adaptació.