Normativa, sector i tendències GRC. NIS2, AI Act, DORA, ISO 27001, ENS i esdeveniments rellevants per a professionals i organitzacions.
A partir del 18 d'abril de 2026 les autoritats competents poden iniciar procediments de supervisió i sanció a les entitats essencials i importants que no hagin implementat les mesures de gestió de riscos exigides per la Directiva NIS2. Espanya transposa la directiva via la futura Llei de Coordinació de Ciberseguretat, pendent d'aprovació definitiva.
El Reglament DORA (Digital Operational Resilience Act) és plenament aplicable des del 17 de gener de 2025. Afecta entitats financeres, asseguradores i proveïdors TIC crítics. Exigeix gestió de riscos TIC, proves de resiliència i notificació d'incidents greus en 4 hores.
La Fundació Telefónica va acollir el II Congrés Foro GRC, organitzat per l'AEC. Prop de 400 professionals de la governança, el risc i el compliment van debatre la necessitat de transformar la complexitat regulatòria (NIS2, DORA, AI Act, RGPD) en avantatge estratègic. El consens: el GRC ja no és tasca del departament legal sinó del consell directiu.
El capítol de Madrid d'ISACA va celebrar el seu Congrés anual d'Auditoria & GRC el 26 de març. La jornada va posar el focus en la convergència entre auditoria interna, gestió de riscos i compliment normatiu davant el nou marc regulatori europeu. Proper gran esdeveniment: Congrés CiberTodos, octubre 2026.
Un sistema de gestió de seguretat de la informació basat en ISO/IEC 27001 cobreix aproximadament el 80% dels controls exigits per l'ENS i la NIS2. Per a pimes sense certificació prèvia, implementar ISO 27001 com a primer pas és l'estratègia de menor cost i major cobertura regulatòria.
El VI Congrés C1b3rwall se celebra els dies 2, 3 i 4 de juny a l'Escola Nacional de Policia de Àvila, sota el lema "Cibercrimen 3.0". És un dels esdeveniments de referència per a professionals de la ciberseguretat a l'Estat espanyol, amb sessions tècniques, operatives i estratègiques.
L'entrada en vigor simultània de NIS2, DORA i l'AI Act converteix 2026 en l'any de la convergència normativa. Les organitzacions que tractaven GRC com a compliment puntual hauran de transitar cap a un model de governança contínua. Els consultors independents amb visió multi-marc i IA com a eina de treball s'han convertit en recurs estratègic per a pimes.
La Comissió Europea va enviar un dictamen motivat a Espanya i altres 18 estats membres per no haver transposat la Directiva NIS2 dins el termini d'octubre de 2024. La futura Llei de Coordinació i Governança de la Ciberseguretat segueix en tramitació parlamentària mentre les administracions adapten els seus processos de contractació als nous requisits.
L'anteprojecte de Llei de Coordinació i Governança de la Ciberseguretat preveu la creació del Centre Nacional de Ciberseguretat (CNC), adscrit a la Presidència del Govern. L'organisme dirigirà la política nacional, establirà criteris comuns per a les autoritats sectorials i actuarà com a punt de contacte únic davant la UE i l'ENISA.
L'anteprojecte de transposició NIS2 preveu un Perfil de Compliment Específic que permetrà a entitats espanyoles acreditar el compliment de la directiva a través de la certificació de l'Esquema Nacional de Seguretat. Una oportunitat estratègica per a administracions i empreses que ja han iniciat la seva adequació ENS.
Cyber Security World Madrid se celebra els dies 4 i 5 de novembre de 2026 als pavellons 3-5 d'IFEMA Madrid. Consolida la seva posició com a principal fira de ciberseguretat empresarial de l'Estat, amb expositors, demostracions de solucions i sessions estratègiques per a professionals de la seguretat corporativa i institucional.
El Centro de Ciberseguridad Industrial organitza la 27a edició del seu congrés internacional els dies 23 i 24 de setembre de 2026 a Sevilla. El programa se centra en la protecció d'infraestructures crítiques, la gestió de riscos IT/OT en entorns híbrids industrials i les amenaces emergents en l'ecosistema OT, amb casos d'èxit i panells d'experts.
El Encuentro Internacional de Seguridad de la Información (ENISE), organitzat per l'INCIBE, celebra enguany la seva 20a edició al Palau d'Exposicions de Lleó. L'esdeveniment reuneix empreses, experts, emprenedors i inversors per compartir les últimes tendències i oportunitats del sector de la ciberseguretat a escala nacional i europea.
Gartner ha publicat les sis tendències que marcaran la ciberseguretat el 2026: identitat com a nou perímetre (IAM centralitzat i MFA anti-phishing), IA als SOC per a detecció autònoma, convergència de les regulacions europees, gestió d'exposició contínua, seguretat de la cadena de subministrament i la ciberseguretat com a tema de consell de direcció.
L'informe de Google Cloud per a 2026 situa la resiliència operativa, l'automatització de la resposta a incidents i la gestió del risc com a prioritats estratègiques. La ciberseguretat passa de ser un cost tecnològic a ser un eix de governança corporativa determinant per a la continuïtat del negoci i la confiança digital davant clients i reguladors.
La convergència de NIS2, DORA i l'AI Act consolida el 2026 com l'any en què la ciberseguretat surt del departament TIC i entra al consell de direcció. Les organitzacions que tracten el compliment normatiu com una formalitat es veuen forçades a transitar cap a models de governança contínua del risc, amb el CISO com a interlocutor estratègic de negoci.
El Port de Vigo va patir un atac de ransomware al març de 2026 que va interrompre les operacions logístiques i administratives, obligant a recórrer a processos manuals per mantenir l'activitat portuària. L'incident, cobert per Recorded Future, posa de manifest la vulnerabilitat de les infraestructures portuàries davant amenaces de ransomware cada cop més sofisticades.
El Ministeri d'Hisenda espanyol va obrir una investigació arran de les declaracions d'un actor maliciós identificat com a "HaciendaSec" que afirmava tenir accés a dades personals, bancàries i fiscals de més de 47 milions de ciutadans. Les autoritats van activar protocols de verificació per determinar l'abast real de la possible filtració.
La Comissió Europea va confirmar el 24 de març un ciberatac dirigit a la seva infraestructura web Europa, aprofitant vulnerabilitats en serveis en núvol externs. L'incident va resultar en l'extracció limitada de dades de sistemes públics i ha activat una revisió de la superfície d'exposició de les infraestructures digitals institucionals europees.
Segons l'Informe Global d'Amenaces de CrowdStrike, els atacs impulsats per IA han augmentat un 89% entre 2025 i 2026. El temps mitjà de propagació ha caigut a 29 minuts, un 65% menys que el 2024. El 75% dels atacs recents han usat eines d'IA per automatitzar bretxes, generant campanyes de phishing hiperpersonalitzades i detectant vulnerabilitats en minuts.
L'analista en cap de Google va advertir el passat 11 de maig que la IA ja s'utilitza activament per explotar vulnerabilitats, no sols per detectar-les. L'avís arriba en un context en què diverses famílies de ransomware han incorporat mòduls d'IA per identificar automàticament punts febles en infraestructures corporatives i adaptar l'atac en temps real sense intervenció humana.
El 2026, la intel·ligència artificial consolida el seu rol als Centres d'Operacions de Seguretat (SOC), passant de ser una eina d'ajuda a ser el motor de detecció i resposta. Els sistemes actuals assoleixen una precisió superior al 96% en la identificació d'anomalies i inicien contramedides en menys de 30 segons, reduint dràsticament la finestra d'exposició davant incidents actius.