Regulación de ciberseguridad en Europa: visión general de NIS2, DORA, CRA y el Reglamento sobre IA
La UE ha aprobado más regulaciones en materia de ciberseguridad en tres años que en las dos décadas anteriores. NIS2, DORA, el Reglamento sobre Resistencia Cibernética (CRA) y el Reglamento sobre Inteligencia Artificial (AI Act) conforman una red regulatoria que afecta prácticamente a toda empresa digital en Europa. Una visión general indispensable para los responsables de toma de decisiones – sin lenguaje jurídico.
En resumen
- NIS2: Obligaciones transversales de ciberseguridad para 18 sectores
- DORA: Requisitos específicos de resiliencia TI para el sector financiero
- CRA: Seguridad de productos para todos los productos digitales (hardware y software)
- AI Act: Regulación basada en riesgos de los sistemas de inteligencia artificial – con implicaciones para la seguridad
NIS2: La regulación de alcance general
NIS2 es el fundamento: 18 sectores, estimados en más de 30.000 empresas en Alemania. Obligaciones centrales: gestión de riesgos, respuesta a incidentes, seguridad de la cadena de suministro y responsabilidad personal de los directivos. Para la mayoría de las empresas, NIS2 constituye el primer contacto con obligaciones vinculantes en materia de ciberseguridad.
¿Quiénes están afectados?: Empresas medianas y grandes de los sectores de energía, transporte, sanidad, agua, servicios digitales, fabricación, química, alimentación, correo, residuos, aeroespacial y administración pública. Asimismo, empresas por debajo de los umbrales establecidos pueden verse afectadas mediante la cláusula relativa a la cadena de suministro.
DORA: Enfoque específico en el sector financiero
DORA entró en vigor en enero de 2025 y se dirige específicamente al sector financiero: bancos, compañías de seguros, firmas de valores, prestadores de servicios de pago y – por primera vez – sus proveedores críticos de TIC externos. DORA va más allá de NIS2: exige pruebas de penetración obligatorias (TLPT), supervisión directa de los proveedores de servicios en la nube y obligaciones detalladas de notificación de incidentes.
Para las entidades financieras: DORA es lex specialis respecto a NIS2 – no sustituye a NIS2, sino que lo complementa con requisitos específicos del sector. Ambas normativas deben cumplirse simultáneamente.
Cyber Resilience Act: Seguridad de productos
El CRA obligará, a partir de 2027, a los fabricantes de productos digitales – desde dispositivos IoT hasta software y servicios en la nube – a aplicar la seguridad desde el diseño (Security by Design), facilitar listas de materiales de software (SBOM), gestionar vulnerabilidades durante todo el ciclo de vida del producto y notificar activamente las vulnerabilidades explotadas.
El CRA afecta a toda empresa que comercialice software o productos digitales en la UE. El software de código abierto queda excluido, siempre que no se distribuya con fines comerciales. Para las pymes alemanas del sector del software y los fabricantes de dispositivos IoT, el CRA representa la regulación más significativa.
AI Act y seguridad
El AI Act regula principalmente los riesgos derivados de la IA (discriminación, manipulación), pero tiene implicaciones para la seguridad: los sistemas de IA de alto riesgo deben ser resistentes frente a ataques (IA adversarial), los datos de entrenamiento deben protegerse contra manipulaciones y los sistemas de seguridad basados en IA (detección de anomalías, detección de fraude) quedan sujetos a las obligaciones de transparencia.
Relevante para los equipos de seguridad: las herramientas de IA utilizadas en los centros de operaciones de seguridad (SOC), como Security Copilot o Charlotte AI, pueden clasificarse como sistemas de IA. Las obligaciones de documentación previstas en el AI Act pueden tener impacto directo en las operaciones de seguridad.
Key Facts
NIS2: 18 sectores, más de 30.000 empresas en Alemania, sanciones económicas de hasta 10 millones de euros
DORA: Más de 22.000 entidades financieras, obligación de pruebas TLPT, supervisión directa de proveedores externos
CRA: Todos los productos digitales a partir de 2027, obligación de SBOM, marcado CE para ciberseguridad
Preguntas frecuentes
¿Qué regulación me afecta a mí?
Reglas prácticas: Sector financiero = DORA + NIS2. Fabricantes de productos/software = CRA. Proveedores de IA = AI Act. Resto de sectores incluidos en la lista de NIS2 = NIS2. Muchas empresas están sujetas simultáneamente a varias regulaciones.
¿Puedo integrar los requisitos de cumplimiento?
Parcialmente. NIS2, DORA y CRA comparten requisitos superpuestos (gestión de riesgos, respuesta a incidentes, cadena de suministro). Un sistema de gestión de la seguridad de la información (SGSI) integrado conforme a ISO/IEC 27001 aborda muchos de los requisitos de las tres regulaciones. No obstante, los requisitos adicionales específicos del sector (TLPT en DORA, SBOM en CRA) deben tratarse de forma independiente.
¿Cuál es el coste de la implementación?
Muy dependiente del nivel de madurez existente. Empresas con un SGSI ya implantado: entre 50.000 y 150.000 euros para el análisis de brechas y las mejoras necesarias. Empresas sin estructuras previas: entre 200.000 y 500.000+ euros para construir un marco completo de cumplimiento normativo. La alternativa – las sanciones económicas – resulta más costosa.
Artículos relacionados
- Ley marco para infraestructuras críticas (KRITIS-Dachgesetz): qué implica, además de NIS2, para los operadores de infraestructuras críticas
- DORA: por qué el Reglamento sobre Resistencia Operacional Digital está transformando radicalmente el sector financiero
- Tendencias en ciberseguridad 2026: las 7 evoluciones que deben conocer los responsables de seguridad
Más contenido de la red MBF Media
- Cloud Magazin – Cloud, SaaS & IT-Infrastruktur
- myBusinessFuture – Digitalización, KI & Business
- Digital Chiefs – C-Level Thought Leadership
Fuente de imagen: Pexels / Artur Roman
