Dades clau
| Normativa | Recomendació (UE) 2026/1009 de la Comissió, de 30 d'abril de 2026 |
|---|---|
| Publicació | 8 de maig de 2026 |
| Entrada en vigor | 30 d'abril de 2026 |
| Afectats | Empreses, pimes i organismes públics amb cadenes de subministrament o proveïdors crítics |
| Categoria | Normativa Europea |
| Caràcter | No vinculant (recomendació). Base per a futura regulació obligatòria |
| Àmbits de risc coberts | Dependències crítiques, concentració geogràfica, vulnerabilitats tecnològiques |
| Processos afectats | Homologació de proveïdors, contratos marc, polítiques de diversificació |
Si la teva empresa depèn d'un o pocs proveïdors clau, opera en un sector estratègic o té cadenes de subministrament amb components tecnològics o concentració geogràfica, aquesta recomendació t'afecta directament. La Recomendació (UE) 2026/1009, publicada el 8 de maig de 2026 i amb efectes des del 30 d'abril de 2026, estableix les orientacions que la Comissió Europea espera que segueixin empreses i entitats públiques per a gestionar els riscos dels seus subministradors.
No és una multa ni una obligació immediata. Però ignorar-la té un cost real: les empreses que no adaptin els seus procediments interns poden quedar en desavantatge en licitacions públiques, auditoríes de diligència deguda i futurs marcs regulatoris vinculants que aquesta recomendació està preparant.
Què estableix aquesta normativa?
La Recomendació (UE) 2026/1009 defineix un marc de gestió de riscos en tres fases per a les relacions amb proveïdors:
- Identificació de riscos: detectar dependències crítiques respecte a un proveïdor o grup de proveïdors, concentració geogràfica en la cadena de subministrament i vulnerabilitats tecnològiques.
- Avaluació de riscos: analitzar l'exposició real de l'empresa davant de cada tipus de risc identificat.
- Mitigació de riscos: aplicar mesures correctores, que poden incloure diversificació de proveïdors, revisió de contratos marc i actualització de processos d'homologació.
La recomendació no imposa sancions ni terminis concrets d'adaptació, però la seva rellevància pràctica és immediata en dos àmbits:
- Contratació pública: pot influir en els requisits que administracions i organismes públics exigeixin als seus proveïdors.
- Auditoríes de diligència deguda: els marcs de compliment i auditoríes internes o externes començaran a prendre aquesta recomendació com a referència.
A més, la Comissió la presenta explícitament com a base per a futura regulació vinculant, la qual cosa significa que les empreses que s'adaptin ara tindran avantatge quan aquesta regulació arribi.
Impacte econòmic i operatiu
L'impacte no és una xifra de multa: és el cost de no estar preparat quan la regulació es torni obligatòria o quan un client públic exigeixi compliment com a condició contractual.
Els principals impactes operatius que han d'anticipar les empreses són:
| Àrea afectada | Canvi requerit | Implicació pràctica |
|---|---|---|
| Homologació de proveïdors | Incorporar criteris de risc (dependència, geografia, tecnologia) | Revisió i actualització del procés d'alta de proveïdors |
| Contratos marc | Incloure clàusules de gestió de risc i diversificació | Renegociació o addenda en contratos vigents amb proveïdors crítics |
| Polítiques de diversificació | Reduir concentració en un únic proveïdor o regió | Identificació de proveïdors alternatius per a subministres crítics |
| Contratació pública | Acreditar marcs de gestió de riscos davant administracions | Possible requisit en plecs de licitació |
| Auditoríes de diligència deguda | Documentar avaluació de riscos de proveïdors | Nova documentació exigible en auditoríes internes i externes |
Les empreses en sectors estratègics (energia, tecnologia, defensa, salut, alimentació, infraestructures crítiques) són les que tenen major urgència d'adaptació, ja que seran les primeres en veure's afectades per la futura regulació vinculant.
A qui afecta?
- Empreses amb cadenes de subministrament complexes o amb dependència de pocs proveïdors clau.
- Pimes que subministrin a grans empreses o a organismes públics, ja que aquests els traslladaran els requisits.
- Organismes públics i administracions que contractin serveis o subministres externs.
- Empreses en sectors estratègics: energia, tecnologia, defensa, salut, alimentació i infraestructures crítiques.
- Empreses amb proveïdors concentrats geogràficament (per exemple, amb alta dependència d'un únic país o regió per a components crítics).
- Empreses amb vulnerabilitats tecnològiques en la seva cadena de subministrament (software, hardware, serveis cloud, telecomunicacions).
- Departaments de compres, CFOs i directors d'operacions responsables de la gestió de proveïdors.
Exemple pràctic
Una empresa industrial mitjana que fabrica components electrònics i compra el 80% dels seus semiconductors a un únic proveïdor localitzat a Àsia té tres riscos simultanis segons el marc de la Recomendació (UE) 2026/1009:
- Dependència crítica: un únic proveïdor cobreix el 80% del subministrament d'un insumo essencial.
- Concentració geogràfica: tota aquesta dependència recau en una única regió geogràfica.
- Vulnerabilitat tecnològica: els semiconductors són un component tecnològic estratègic.
Seguint les orientacions de la recomendació, aquesta empresa hauria de: documentar formalment aquesta dependència en el seu procés d'homologació, avaluar el risc real d'interrupció de subministrament, i iniciar la identificació d'almenys un proveïdor alternatiu en una regió diferent. Si aquesta empresa concorre a licitacions públiques, acreditar aquest marc de gestió de riscos pot convertir-se en un requisit del plec abans que la regulació sigui formalment obligatòria.
Què han de fer les empreses ara?
- Mapear les dependències crítiques: identificar quins proveïdors són imprescindibles per a l'operació i quin percentatge del subministrament representen. Documentar-ho formalment.
- Avaluar la concentració geogràfica: revisar si existeix dependència excessiva de proveïdors en una única regió o país, especialment en sectors amb risc geopolític.
- Auditar vulnerabilitats tecnològiques: identificar components tecnològics crítics en la cadena de subministrament (software, hardware, serveis digitals) i avaluar la seva exposició.
- Revisar els processos d'homologació: incorporar criteris de gestió de risc (dependència, geografia, tecnologia) en el procés d'alta i avaluació periòdica de proveïdors.
- Revisar contratos marc amb proveïdors crítics: valorar si és necessari incloure clàusules de continuïtat, diversificació o gestió de riscos en els contratos vigents.
- Preparar documentació per a auditoríes: encara que la recomendació no és vinculant avui, les auditoríes de diligència deguda i els plecs de contratació pública començaran a exigir evidència d'aquests marcs.
- Seguir l'evolució regulatòria: aquesta recomendació és el pas previ a regulació vinculant. Les empreses que s'adaptin ara evitaran costos d'adaptació urgent quan arribi l'obligació formal.
Preguntes freqüents
És obligatori complir la Recomendació UE 2026/1009 sobre proveïdors?
No és de compliment obligatori. És una recomendació no vinculant. Tanmateix, estableix les bases per a futura regulació vinculant i pot influir ja en requisits de contratació pública i auditoríes de diligència deguda.
Quins riscos de proveïdors han d'identificar les empreses segons la UE?
La recomendació assenyala tres tipus de risc principals: dependències crítiques d'un proveïdor, concentració geogràfica en la cadena de subministrament i vulnerabilitats tecnològiques. Les empreses han de