Protecció de Dades

Ciberseguretat UE 2026: què canvia en la notificació d'incidents i què han de fer les empreses

E
Equipo Editorial CambiosLegales
09 Jun 2026 7 min 29 visites

Dades clau

NormativaCorrecció del Reglament Delegat (UE) 2026/881 — complementa el Reglament (UE) 2024/2847
Publicació09 de juny de 2026
Entrada en vigor20 d'abril de 2026 (data del text original corregit)
AfectatsEmpreses i entitats obligades a notificar incidents de ciberseguretat sota normativa UE
CategoriaProtecció de Dades / Ciberseguretat
Exercici2026
Font oficialOJ:L_202690449 — EUR-Lex
Anàlisi d'impacte reservada per a PRO
L'anàlisi detallada de l'impacte d'aquesta normativa està disponible per a usuaris amb pla PRO o superior. Accedeix al contingut complet i rep alertes personalitzades.
Veure plansCrear cuenta gratis
Des de 9,99 €/mes · Cancel·la quan vulguis

Si la teva empresa està obligada a notificar incidents de ciberseguretat sota la normativa europea, aquest canvi t'afecta ara mateix. El Reglament Delegat (UE) 2026/881, que complementa el Reglament (UE) 2024/2847, ha estat objecte d'una correcció formal publicada el 9 de juny de 2026, amb efectes des del 20 d'abril de 2026. El text ajusta errors formals de l'original i precisa les modalitats i condicions sota les quals una entitat pot invocar motius de ciberseguretat per ajornar la difusió pública d'una notificació d'incident.

No es tracta d'una norma nova des de zero, sinó d'una correcció que afina el marc ja vigent. Però això no la fa menys rellevant: qualsevol desajust entre els teus procediments interns i el text corregit pot generar problemes de compliment en el moment en què hagis de gestionar un incident real.

Què estableix aquesta normativa?

El Reglament (UE) 2024/2847 estableix el marc general de ciberseguretat aplicable a determinades entitats a la UE, inclosa l'obligació de notificar incidents significatius. El Reglament Delegat (UE) 2026/881 ho complementa fixant les regles específiques sobre quan i com es pot ajornar la difusió pública d'aquestes notificacions al·legant raons de ciberseguretat.

La correcció publicada el 9 de juny de 2026 corregeix errors formals del text original publicat el 20 d'abril de 2026. Els elements clau que regula aquesta normativa són:

  • Modalitats per al·legar motius de ciberseguretat: es defineixen les condicions concretes sota les quals una entitat pot justificar l'ajornament de la difusió pública d'una notificació d'incident.
  • Condicions per a l'ajornament: no qualsevol incident ni qualsevol justificació és vàlida; el reglament delimita el perímetro del que es considera motiu legítim de ciberseguretat.
  • Procediments de notificació: les entitats han d'assegurar-se que els seus protocols interns recullen els requisits actualitzats després de la correcció.
  • Responsables implicats: tant els equips de ciberseguretat com els responsables de compliment normatiu (compliance officers, DPOs) han de conèixer i aplicar el text corregit.
Element normatiuDetall
Norma baseReglament (UE) 2024/2847 del Parlament Europeu i del Consell
Norma delegada corregidaReglament Delegat (UE) 2026/881 de la Comissió, de 11 de desembre de 2025
Objecte de la correccióAjust d'errors formals del text original publicat el 20 d'abril de 2026
Matèria reguladaModalitats i condicions per al·legar motius de ciberseguretat en l'ajornament de notificacions d'incidents
Data de publicació de la correcció9 de juny de 2026
Data del text original20 d'abril de 2026

Impacte econòmic i operatiu

Aquesta correcció no introdueix noves càrregues econòmiques directes (no hi ha taxes, multes ni imports nous establerts en el text corregit). Tanmateix, el seu impacte operatiu és real i pot traduir-se en costos indirectes significatius si no es gestiona correctament:

  • Revisió de procediments interns: els equips de ciberseguretat i compliment han de revisar i, si escau, actualitzar els protocols de notificació d'incidents per alinear-se amb el text corregit. Això implica temps de dedicació de personal especialitzat.
  • Risc d'incompliment: operar amb procediments basats en el text original amb errors formals —en lloc del text corregit— pot generar vulnerabilitats de compliment davant d'una auditoria o un incident real.
  • Gestió de la comunicació de bretxes: l'ajornament de la difusió pública de notificacions és una decisió amb implicacions legals, reputacionals i operatives. Aplicar incorrectament les condicions de l'ajornament pot exposar l'entitat a responsabilitats.
  • Formació interna: els responsables de compliment i els equips de ciberseguretat han de conèixer el text actualitzat, la qual cosa pot requerir sessions d'actualització formativa.

A qui afecta?

  • Empreses i entitats obligades a notificar incidents de ciberseguretat sota el Reglament (UE) 2024/2847.
  • Responsables de compliment normatiu (compliance officers) que supervisen els protocols de notificació d'incidents.
  • Delegats de Protecció de Dades (DPO) en entitats subjectes a obligacions de notificació.
  • Equips de ciberseguretat que gestionen la detecció, resposta i comunicació de bretxes o incidents.
  • Directors de Seguretat de la Informació (CISO) responsables dels protocols de resposta a incidents.
  • Assessors legals i consultors que acompanyen entitats en el compliment de la normativa de ciberseguretat europea.
  • Entitats de sectors crítics o essencials que ja estiguin en l'àmbit d'aplicació de la normativa de ciberseguretat de la UE.

Exemple pràctic

Imagina una empresa d'infraestructures digitals que detecta un incident de ciberseguretat significatiu. Sota el Reglament (UE) 2024/2847, està obligada a notificar-lo. Tanmateix, el seu equip de seguretat considera que difondre públicament la notificació de forma immediata podria agreujar l'incident o facilitar nous atacs.

Per poder ajornar aquesta difusió pública, l'empresa ha d'invocar motius de ciberseguretat seguint exactament les modalitats i condicions que estableix el Reglament Delegat (UE) 2026/881 —en la seva versió corregida, publicada el 9 de juny de 2026—. Si els procediments interns de l'empresa es basen en el text original amb errors formals, la justificació de l'ajornament podria no ajustar-se als requisits vigents, exposant l'entitat a un incompliment normatiu.

La correcció garanteix que el text aplicable és el que recull les condicions precises i formalment correctes. Per això, revisar els procediments interns contra el text corregit no és opcional: és la diferència entre un ajornament vàlidament justificat i un que no ho està.

Necessites fer seguiment d'aquesta i altres normatives?

Consulta el detall complet a CambiosLegales

Què han de fer les empreses ara?

  1. Localitzar i llegir el text corregit: accedeix al text oficial de la correcció a EUR-Lex i compara'l amb el Reglament Delegat (UE) 2026/881 original per identificar exactament quins errors formals han estat corregits.
  2. Revisar els procediments interns de notificació d'incidents: contrastar els protocols actuals amb els requisits del text corregit, especialment pel que fa a les condicions per al·legar motius de ciberseguretat i ajornar la difusió pública.
  3. Actualitzar la documentació interna: si els procediments fan referència al text original, actualitzar-los per reflectir la versió corregida vigent des del 20 d'abril de 2026.
  4. Informar als equips implicats: assegurar-se que l'equip de ciberseguretat, el DPO, el compliance officer i el CISO coneixen el contingut del text corregit i les seves implicacions pràctiques.
  5. Verificar l'alineació amb el Reglament (UE) 2024/2847: comprovar que els procediments de notificació compleixen tant amb la norma base com amb el reglament delegat corregit.
  6. Consultar amb assessoria legal especialitzada si hi ha dubtes sobre l'abast dels canvis formals o sobre com afecten als procediments de notificació ja establerts.

Preguntes freqüents

Què corregeix exactament el Reglament Delegat (UE) 2026/881?

La correcció publicada el 9 de juny de 2026 ajusta errors formals del text original del Reglament Delegat (UE) 2026/881, publicat el 20 d'abril de 2026. Aquest reglament complementa el Reglament (UE) 2024/2847 i estableix les modalitats i condicions per al·legar motius de ciberseguretat en ajornar la difusió pública de notificacions d'incidents. Els errors corregits són de caràcter formal, però el text corregit és el que té validesa jurídica.

Quan entra en vigor aquesta correcció i des de quan aplica?

La correcció va ser publicada el 9 de juny de 2026. Tanmateix, el text que corregeix —el Reglament Delegat (UE) 2026/881— té com a data de referència el 20 d'abril de 2026, que és la data del text original. Les empreses han de considerar el text corregit com el vigent des d'aquesta data.

Quines empreses estan obligades a complir amb aquest reglament?

Les empreses i entitats obligades a notificar incidents de ciberseguretat sota el Reglament (UE) 2024/2847 del Parlament Europeu i del Consell. Això inclou especialment entitats de sectors crítics o essencials, així com qualsevol organització subjecta a obligacions de notificació d'incidents sota la normativa de ciberseguretat europea vigent.

Què passa si la meva empresa no actualitza els seus procediments de notificació?

Operar amb procediments basats en el text original amb errors formals —en lloc del text corregit— pot generar vulnerabilitats de compliment. En cas d'incident real, si l'ajornament de la difusió pública no es justifica conforme a les condicions del text corregit, l'entitat pot quedar exposada a incompliment normatiu amb les responsabilitats que això comporta. Es recomana revisar i actualitzar els procediments interns sense demora.

Qui dins de l'empresa ha de gestionar el compliment d'aquesta normativa?

Els responsables principals són el compliance officer, el Delegat de Protecció de Dades (DPO) i el Director de Seguretat de la Informació (CISO). Els equips de ciberseguretat que gestionen la detecció i comunicació de bretxes o incidents també han de conèixer el contingut del text corregit i aplicar-lo en els seus protocols de resposta.

Font oficial

Consulta la normativa completa a la font oficial

Avís: Aquest article té caràcter merament informatiu i no constitueix assessorament legal. Per a decisions específiques, consulta un professional qualificat. Font: https://eur-lex.europa.eu/./legal-content/AUTO/?uri=OJ:L_202690449

#Normativa Europea #Compliment Normatiu #Reglament Delegat UE #Ciberseguretat #Protecció de Dades #Notificació d'Incidents #Seguretat de la Informació
Compartir:
E
Equipo Editorial CambiosLegales

El equipo editorial de CambiosLegales analiza diariamente los cambios normativos que afectan a empresas y autónomos en España, ofreciendo análisis pro...

Article anterior
Normativa europea juny 2026: què estableix OJ:L_202690451 i ...
Article següent
Acords de lliure comerç UE 2026: què canvia per a importador...
Comentaris

No hi ha comentaris encara. Sigues el primer a comentar!

Deixa un comentari
Articles relacionats
Consell EHDS 2026: què canvia per a hospitals, farmacèutiques i tecnològiques
Protecció de Dades 20 Apr 2026
Dades de matriculació UE-Regne Unit: què canvia per a flotes i transport
Protecció de Dades 13 May 2026
IA amb biaix de gènere: què han de revisar les empreses amb sistemes d'IA a R...
Protecció de Dades 20 Apr 2026
Nomenament Ana Palacios Morillo: què canvia en política de dades 2026
Protecció de Dades 26 Mar 2026
Categories
Novetats Fiscals 62 Legislació Laboral 84 Normativa Empresarial 97 Protecció de Dades 7 Seguretat Social 21 Normativa Europea 588 Ajudes i Subvencions 90 Canvis Normatius 167 Sector Públic 420 Educació 112 Energia 132 Agricultura i Pesca 189 Immobiliari 144
Etiquetes populars
Normativa Europea Sector Públic Compliment Normatiu Ocupació Pública comerç exterior Registre de la Propietat Immobiliari Oposicions 2026 Legislació Laboral Sanitat animal Diari Oficial UE DGSJFP Oposicions Espacio economico europeo Conveni Col·lectiu
Crear alerta gratuïta