{"id":15671,"date":"2026-05-23T08:39:37","date_gmt":"2026-05-23T08:39:37","guid":{"rendered":"https:\/\/www.securitytoday.de\/2026\/05\/25\/nis2-trifft-cloud-act-wer-haftet-fuer-die-drittstaaten\/"},"modified":"2026-06-17T15:48:25","modified_gmt":"2026-06-17T15:48:25","slug":"nis2-se-encuentra-con-la-ley-cloud-quien-responde-por-la-brecha-de-terceros","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/es\/2026\/05\/23\/nis2-se-encuentra-con-la-ley-cloud-quien-responde-por-la-brecha-de-terceros\/","title":{"rendered":"NIS2 se encuentra con la Ley CLOUD: \u00bfQui\u00e9n responde por la brecha de terceros pa\u00edses?"},"content":{"rendered":"<p style=\"color:#69d8ed;font-size:0.9em;margin:0 0 16px;padding:0;\">8 min. de lectura<\/p>\n<p><strong>NIS2 obliga a los operadores alemanes a realizar una auditor\u00eda de la cadena de suministro que, al mismo tiempo, elude el US CLOUD Act. Quien gestione un hiperscalador estadounidense con datos alemanes se enfrenta a dos autoridades que exigen acceso de forma contradictoria. En 2026, la responsabilidad por ello ya no recaer\u00e1 en el departamento de compras, sino en el director general.<\/strong><\/p>\n<div style=\"background:#003340;color:#fff;padding:32px 36px;margin:32px 0;border-radius:8px;\">\n<p style=\"margin:0 0 18px 0;font-size:0.95em;font-weight:800;text-transform:uppercase;letter-spacing:0.2em;color:#69d8ed;border-bottom:2px solid rgba(105,216,237,0.25);padding-bottom:12px;\">Lo m\u00e1s importante en resumen<\/p>\n<ul style=\"margin:0;padding-left:22px;color:rgba(255,255,255,0.92);line-height:1.6;\">\n<li style=\"margin-bottom:12px;\"><strong style=\"color:#69d8ed;\">La direcci\u00f3n general responde personalmente.<\/strong> NIS2 convierte la seguridad de la cadena de suministro en una decisi\u00f3n de la direcci\u00f3n sujeta a obligaci\u00f3n de documentaci\u00f3n. Delegar en el CISO no exime de responsabilidad.<\/li>\n<li style=\"margin-bottom:12px;\"><strong style=\"color:#69d8ed;\">El US CLOUD Act no vulnera Schrems II a escondidas.<\/strong> Quien firme cl\u00e1usulas contractuales est\u00e1ndar con AWS, Azure o GCP tendr\u00e1 las cl\u00e1usulas de conflicto en su propia documentaci\u00f3n contractual. Est\u00e1n documentadas, pero se ignoran.<\/li>\n<li><strong style=\"color:#69d8ed;\">El riesgo de terceros pa\u00edses no se limita a EE. UU.<\/strong> Los servicios en la nube con suboperadores en India, Israel o Filipinas se encuentran en la misma situaci\u00f3n. NIS2 exige una visi\u00f3n del riesgo que tambi\u00e9n incluya a los subproveedores.<\/li>\n<\/ul>\n<\/div>\n<p style=\"font-size:0.88em;color:#666;margin:20px 0 32px 0;border-top:1px solid #e5e5e5;border-bottom:1px solid #e5e5e5;padding:10px 0;\"><span style=\"color:#004a59;font-weight:700;text-transform:uppercase;font-size:0.72em;letter-spacing:0.14em;margin-right:14px;\">Relacionado:<\/span><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/05\/18\/cumplimiento-de-nis2-en-la-mediana-empresa-pasos-factibles-errores-evitables\/\" style=\"color:#333;text-decoration:underline;\">Cumplimiento de NIS2 en la pyme: pasos viables<\/a>&nbsp;&nbsp;<span style=\"color:#ccc;\">\/<\/span>&nbsp;&nbsp;<a href=\"https:\/\/www.securitytoday.de\/es\/2026\/05\/22\/dora-y-nis2-por-que-las-auditorias-bancarias-ahora-chocan\/\" style=\"color:#333;text-decoration:underline;\">DORA y NIS2: por qu\u00e9 las auditor\u00edas bancarias entran en conflicto ahora<\/a><\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">Lo que exige realmente la obligaci\u00f3n de NIS2 en materia de cadena de suministro<\/h2>\n<p><strong>\u00bfQu\u00e9 es Supply Chain Security seg\u00fan NIS2?<\/strong> Supply Chain Security, en el sentido de la directiva NIS2, obliga a las entidades afectadas a evaluar, documentar y garantizar contractualmente la seguridad de sus proveedores y prestadores de servicios de forma sistem\u00e1tica. Esto incluye proveedores de servicios en la nube, proveedores de servicios gestionados y proveedores de software. La responsabilidad recae en la direcci\u00f3n general y no es delegable.<\/p>\n<p>El art\u00edculo 21, apartado 2, letra d, de la directiva NIS2 y su transposici\u00f3n en la NIS2UmsuCG exigen expl\u00edcitamente que la seguridad de la cadena de suministro se incorpore a la gesti\u00f3n de riesgos. La ley menciona cuatro puntos por su nombre: vulnerabilidades de los proveedores directos, pr\u00e1cticas de seguridad de los proveedores, respuesta a incidentes de seguridad en la cadena y la fiabilidad de esta relaci\u00f3n con el proveedor a lo largo de la vigencia del contrato.<\/p>\n<p>Quien pretenda aplicar esto en la pr\u00e1ctica no puede evitar una pregunta: qu\u00e9 proveedores de servicios en la nube forman parte de su propia cadena de suministro y qu\u00e9 subproveedores han integrado a su vez. En el contexto de una auditor\u00eda, la respuesta \u00abutilizamos Azure\u00bb no es suficiente. Se exige una visi\u00f3n dos niveles m\u00e1s abajo.<\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">D\u00f3nde el US CLOUD Act anula el protecci\u00f3n europeo<\/h2>\n<p>El US Clarifying Lawful Overseas Use of Data Act de 2018 permite a las autoridades estadounidenses de investigaci\u00f3n criminal solicitar datos a proveedores estadounidenses, independientemente de d\u00f3nde se almacenen estos datos. AWS, Microsoft y Google son proveedores estadounidenses. Una regi\u00f3n alemana no cambia nada en esto. El proveedor est\u00e1 obligado a cooperar, y el cliente alem\u00e1n en muchos casos no se informa.<\/p>\n<p>Eso no es un secreto. Est\u00e1 escrito en los contratos de procesamiento de datos de los hyperscalers, normalmente bajo \u00abGovernment Access Requests\u00bb o \u00abLaw Enforcement Demands\u00bb. Quien no lo haya le\u00eddo no ha cumplido con la diligencia debida hacia sus proveedores. Quien lo haya le\u00eddo y omitido tiene otro problema: sabe que su cl\u00e1usula est\u00e1ndar conforme a Schrems-II ceder\u00e1 en caso de conflicto, pero igualmente ha firmado.<\/p>\n<p>El TJUE estableci\u00f3 en su decisi\u00f3n Schrems-II de 2020 que las cl\u00e1usulas contractuales est\u00e1ndar solo ser\u00e1n suficientes si el nivel de protecci\u00f3n en el tercer pa\u00eds es realmente equivalente. El CLOUD Act no lo hace equivalente. El Marco de Privacidad EU-US de 2023 lo compensa a nivel de aplicaci\u00f3n, pero no resuelve el conflicto estructural. Las autoridades de protecci\u00f3n de datos y las supervisoras lo eval\u00faan de forma diferente, lo cual no simplifica el camino de cumplimiento.<\/p>\n<blockquote style=\"border-left:4px solid #69d8ed;background:linear-gradient(135deg,#f0fcff 0%,#e0f7fa 100%);padding:24px 28px;margin:32px 0;font-style:italic;font-size:1.1em;color:#003340;border-radius:4px;\"><p>\nQuien utilice un hyperscaler estadounidense acepta contractualmente una cl\u00e1usula de acceso a autoridades que entra en conflicto con el derecho al privacidad europeo. Eso es una asunci\u00f3n consciente de riesgo, no una debilidad t\u00e9cnica residual.\n<\/p><\/blockquote>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">Pa\u00edses terceros no son solo Estados Unidos<\/h2>\n<p>La discusi\u00f3n p\u00fablica se centra en los proveedores estadounidenses. La realidad de las cadenas de suministro es m\u00e1s amplia. Un SOC gestionado de un MSSP alem\u00e1n suele trabajar con analistas en India, un proveedor de respaldo en la nube almacena almacenamiento en Polonia y copias de seguridad en Israel, un proveedor SaaS para software de RR.HH. tiene hubs de desarrollo en Vietnam. Cada uno de estos lugares tiene su propia l\u00f3gica de acceso de autoridades y su propia interpretaci\u00f3n del exportaci\u00f3n de datos.<\/p>\n<div style=\"overflow-x:auto;-webkit-overflow-scrolling:touch;margin:16px 0 32px 0;\">\n<table style=\"width:100%;min-width:560px;border-collapse:collapse;font-size:0.95em;\">\n<thead>\n<tr style=\"background:#003340;color:#fff;\">\n<th style=\"padding:12px 16px;text-align:left;border:1px solid #003340;\">Regi\u00f3n<\/th>\n<th style=\"padding:12px 16px;text-align:left;border:1px solid #003340;\">Acceso de autoridades (breve)<\/th>\n<th style=\"padding:12px 16px;text-align:left;border:1px solid #003340;\">Evaluaci\u00f3n NIS2 en el espacio de datos<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td style=\"padding:12px 16px;border:1px solid #ddd;\"><strong>Estados Unidos<\/strong><\/td>\n<td style=\"padding:12px 16px;border:1px solid #ddd;\">CLOUD Act, FISA 702<\/td>\n<td style=\"padding:12px 16px;border:1px solid #ddd;color:#003340;font-weight:600;\">Alto, con conflicto residual respecto a Schrems II<\/td>\n<\/tr>\n<tr>\n<td style=\"padding:12px 16px;border:1px solid #ddd;\"><strong>Reino Unido<\/strong><\/td>\n<td style=\"padding:12px 16px;border:1px solid #ddd;\">Acta de Potestades Investigativas, Decisi\u00f3n de Adecuaci\u00f3n UE<\/td>\n<td style=\"padding:12px 16px;border:1px solid #ddd;color:#003340;font-weight:600;\">Medio, adecuaci\u00f3n bajo observaci\u00f3n<\/td>\n<\/tr>\n<tr>\n<td style=\"padding:12px 16px;border:1px solid #ddd;\"><strong>India<\/strong><\/td>\n<td style=\"padding:12px 16px;border:1px solid #ddd;\">Secci\u00f3n 69 del Acto de Tecnolog\u00eda de la Informaci\u00f3n, Acto DPDP 2023<\/td>\n<td style=\"padding:12px 16px;border:1px solid #ddd;color:#003340;font-weight:600;\">Alto, sin decisi\u00f3n de adecuaci\u00f3n<\/td>\n<\/tr>\n<tr>\n<td style=\"padding:12px 16px;border:1px solid #ddd;\"><strong>Israel<\/strong><\/td>\n<td style=\"padding:12px 16px;border:1px solid #ddd;\">Ley de Protecci\u00f3n de la Privacidad, Decisi\u00f3n de Adecuaci\u00f3n UE<\/td>\n<td style=\"padding:12px 16px;border:1px solid #ddd;color:#003340;font-weight:600;\">Medio, riesgos residuales sectoriales<\/td>\n<\/tr>\n<tr>\n<td style=\"padding:12px 16px;border:1px solid #ddd;\"><strong>Filipinas<\/strong><\/td>\n<td style=\"padding:12px 16px;border:1px solid #ddd;\">Acto de Protecci\u00f3n de Datos, Acceso de autoridades mediante marco AML<\/td>\n<td style=\"padding:12px 16px;border:1px solid #ddd;color:#003340;font-weight:600;\">Alto, frecuentemente subproveedores sin contrato<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<p style=\"font-size:0.8em;color:#888;margin-top:8px;\">Fuente: Evaluaci\u00f3n propia NIS2UmsuCG m\u00e1s decisiones de adecuaci\u00f3n de la Comisi\u00f3n Europea, fecha mayo 2026.<\/p>\n<p>Un registro de riesgos que no refleje esta perspectiva es vulnerable en el auditorio NIS2. La autoridad de supervisi\u00f3n no pregunta por proveedores favoritos, pregunta por la metodolog\u00eda de evaluaci\u00f3n. Quien tenga cinco subproveedores en tres pa\u00edses tercero y no tenga una evaluaci\u00f3n escrita del riesgo de acceso de autoridades, no ha cumplido formalmente la atenci\u00f3n requerida por NIS2.<\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">Donde realmente se activan las trampas de responsabilidad<\/h2>\n<p>Hay tres puntos donde la responsabilidad personal de la direcci\u00f3n en la pr\u00e1ctica se manifiesta. Primero, en el incidente de seguridad con fuga de datos: si la investigaci\u00f3n muestra que la cadena de suministro no fue evaluada, se trata de una violaci\u00f3n de la obligaci\u00f3n de cuidado. Segundo, en el auditorio sin incidente: una autoridad de supervisi\u00f3n puede sancionar incluso sin haber ocurrido da\u00f1os. Tercero, en el procedimiento civil: si los datos de los clientes se comprometen mediante una transmisi\u00f3n a un pa\u00eds tercero, surgen demandas por da\u00f1os y perjuicios cuyo valor depende directamente del volumen de datos.<\/p>\n<div style=\"background:#003340;color:#fff;text-align:center;padding:40px 24px;margin:32px 0;border-radius:8px;\">\n<div style=\"font-size:3.4em;font-weight:800;color:#69d8ed;letter-spacing:-0.03em;line-height:1;\">10 Mio. \u20ac<\/div>\n<div style=\"font-size:1em;color:rgba(255,255,255,0.88);margin-top:12px;max-width:520px;margin-left:auto;margin-right:auto;line-height:1.5;\">o bien el 2 por ciento del volumen de negocio del grupo son el m\u00e1ximo de multas seg\u00fan NIS2 para instalaciones esenciales en incumplimientos sist\u00e9micos. Los incumplimientos en las cadenas de suministro caen dentro de este \u00e1mbito.<\/div>\n<div style=\"font-size:0.78em;color:rgba(255,255,255,0.5);margin-top:12px;\">Fuente: Borrador NIS2UmsuCG, publicaci\u00f3n en el Bolet\u00edn Oficial de las Leyes Federales 2024.<\/div>\n<\/div>\n<p>Los hyperscalers no ser\u00e1n los principales demandantes en estos procedimientos. Han definido claramente en sus condiciones generales de contrataci\u00f3n lo que entregan y lo que no. Los principales demandantes son los encargados que firmaron sin capturar las implicaciones contractualmente. Esta es la construcci\u00f3n que NIS2 aborda ahora expresamente.<\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">Cuatro pasos concretos que deben estar ahora en el registro de riesgos<\/h2>\n<p>Paso uno: Inventario de proveedores con v\u00ednculo a terceros pa\u00edses. \u00bfQu\u00e9 proveedor, qu\u00e9 contrato, qu\u00e9 lugar real de procesamiento, qu\u00e9 subcontratistas? Quien pueda reducir esto a una tabla de Excel debe poder presentarlo a una autoridad de supervisi\u00f3n.<\/p>\n<p>Paso dos: Evaluaci\u00f3n escrita de riesgos por proveedor. No \u00abconfiamos en AWS\u00bb, sino: \u00bfqu\u00e9 derechos de acceso de las autoridades existen, qu\u00e9 categor\u00edas de datos est\u00e1n afectadas, qu\u00e9 medidas reducen el riesgo? El cifrado con claves del cliente es una medida, la restricci\u00f3n geogr\u00e1fica otra. Ambas deben documentarse.<\/p>\n<p>Paso tres: Refuerzo contractual. Las cl\u00e1usulas contractuales est\u00e1ndar m\u00e1s medidas de protecci\u00f3n adicionales son obligatorias, no recomendaciones. Esto significa concretamente: control de cifrado, derechos de auditor\u00eda, obligaciones de notificaci\u00f3n ante accesos de autoridades, cl\u00e1usulas de salida con ruta de transferencia de datos.<\/p>\n<p>Paso cuatro: Aprobaci\u00f3n por la direcci\u00f3n. La selecci\u00f3n del proveedor y la evaluaci\u00f3n del riesgo residual deben documentarse en una resoluci\u00f3n de la direcci\u00f3n. No en una diapositiva de estrategia en la nube. En un acta que la autoridad de supervisi\u00f3n pueda seguir.<\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">Cu\u00e1ndo es realista cambiar a proveedores europeos<\/h2>\n<p>La respuesta sincera es: no para todas las cargas de trabajo, no de inmediato. La Iniciativa Europea de Nube Abierta y ofertas soberanas como OVHcloud, Open Telekom Cloud o Stackit cubren un espectro creciente, pero no abarcan cada funci\u00f3n t\u00e9cnica de un hyperscaler. Quien necesite inferencia equivalente a Bedrock, Aurora Serverless o funciones espec\u00edficas de identidad de Microsoft, no tiene hoy un sustituto 1:1.<\/p>\n<p>Esto no es un motivo para mantener el statu quo. Es un motivo para una arquitectura diferenciada. Las categor\u00edas de datos sensibles migrar\u00e1n a proveedores europeos o permanecer\u00e1n on-premises. Las cargas de trabajo gen\u00e9ricas permanecer\u00e1n en el hyperscaler, con medidas de protecci\u00f3n documentadas. La arquitectura de plataforma en 2026 ser\u00e1 pol\u00edglota, no todo o nada.<\/p>\n<h2 style=\"padding-top:64px;margin-bottom:20px;\">Preguntas frecuentes<\/h2>\n<h3>\u00bfEs el EU-US Data Privacy Framework una base suficiente para el uso de nube estadounidense?<\/h3>\n<p>El marco de 2023 ha restablecido la decisi\u00f3n de adecuaci\u00f3n y es la base jur\u00eddica actual. Varios organismos de protecci\u00f3n de datos y dict\u00e1menes jur\u00eddicos esperan un nuevo procedimiento del TJUE que vuelva a examinar su viabilidad. Quien se base \u00fanicamente en el marco asume el riesgo de una decisi\u00f3n Schrems-III. Es s\u00f3lido el marco junto con medidas t\u00e9cnicas adicionales, especialmente el cifrado con claves del cliente.<\/p>\n<h3>\u00bfBasta un cifrado en el hyperscaler como protecci\u00f3n contra la CLOUD Act?<\/h3>\n<p>Un cifrado del lado del servidor del proveedor no es suficiente, porque el proveedor gestiona las claves y puede ser obligado a entregarlas en un procedimiento de autoridades. Soluciones Bring-Your-Own-Key o Hold-Your-Own-Key con gesti\u00f3n externa de claves cierran la brecha t\u00e9cnicamente, siempre que el gestor de claves no est\u00e9 sujeto a la legislaci\u00f3n estadounidense. Adem\u00e1s, no todos los proveedores ofrecen HYOK para todos los servicios.<\/p>\n<h3>\u00bfQu\u00e9 ocurre si un hyperscaler recibe una notificaci\u00f3n de la CLOUD Act?<\/h3>\n<p>El proveedor est\u00e1 obligado a entregar los datos solicitados. Puede presentar un recurso, aunque en la pr\u00e1ctica rara vez tiene \u00e9xito. A menudo no se notifica al cliente, porque la notificaci\u00f3n puede incluir una obligaci\u00f3n de secreto. El cliente, en caso de duda, solo se entera en el procedimiento posterior de que los datos fueron transmitidos.<\/p>\n<h3>\u00bfDeben las peque\u00f1as empresas realizar revisiones de la cadena de suministro NIS2?<\/h3>\n<p>Las obligaciones NIS2 entran en vigor a partir de un tama\u00f1o determinado o en sectores regulados. Las peque\u00f1as empresas no est\u00e1n generalmente obligadas directamente, pero son incluidas contractualmente en la revisi\u00f3n por parte de sus clientes obligados a cumplir con NIS2. Esto desplaza la obligaci\u00f3n, de hecho, a la cadena de suministro. Quien, como PYME, tenga un cliente obligado a cumplir con NIS2, debe poder proporcionar informaci\u00f3n.<\/p>\n<div style=\"margin:40px 0;padding:0;border-top:2px solid #004a59;\">\n<h3 style=\"margin:0;padding:16px 0 8px 0;font-size:0.78em;font-weight:700;text-transform:uppercase;letter-spacing:0.18em;color:#004a59;\">Sugerencias de lectura de la redacci\u00f3n<\/h3>\n<ul style=\"list-style:none;margin:0;padding:0;\">\n<li style=\"padding:10px 0;border-bottom:1px solid #eee;\"><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/05\/18\/cumplimiento-de-nis2-en-la-mediana-empresa-pasos-factibles-errores-evitables\/\" style=\"color:#1a1a1a;text-decoration:none;\">Cumplimiento NIS2 en el sector mediano: pasos realizables<\/a><\/li>\n<li style=\"padding:10px 0;border-bottom:1px solid #eee;\"><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/05\/22\/dora-y-nis2-por-que-las-auditorias-bancarias-ahora-chocan\/\" style=\"color:#1a1a1a;text-decoration:none;\">DORA y NIS2: por qu\u00e9 los auditor\u00edos bancarios ahora entran en conflicto<\/a><\/li>\n<li style=\"padding:10px 0;\"><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/05\/17\/72-por-ciento-de-la-ciberdefensa-proviene-del-extranjero\/\" style=\"color:#1a1a1a;text-decoration:none;\">El 72 % de las capacidades de ciberdefensa provienen del extranjero<\/a><\/li>\n<\/ul>\n<\/div>\n<div style=\"margin:40px 0 24px 0;\">\n<p style=\"margin:0 0 12px 0;font-size:0.78em;font-weight:700;text-transform:uppercase;letter-spacing:0.18em;color:#666;\">M\u00e1s del network MBF Media<\/p>\n<div style=\"padding:14px 18px;border-left:3px solid #0bb7fd;background:#fafafa;margin-bottom:6px;\">\n<div style=\"font-size:0.7em;font-weight:700;color:#0bb7fd;text-transform:uppercase;letter-spacing:0.12em;margin-bottom:4px;\">cloudmagazin<\/div>\n<p><a href=\"https:\/\/www.cloudmagazin.com\/2026\/05\/23\/eks-1-36-wird-teuer-wenn-die-finops-disziplin-fehlt\/\" style=\"font-weight:600;line-height:1.4;color:#1a1a1a;text-decoration:none;\">EKS 1.36 se vuelve caro si falta la disciplina FinOps<\/a>\n<\/div>\n<div style=\"padding:14px 18px;border-left:3px solid #F21F05;background:#fafafa;margin-bottom:6px;\">\n<div style=\"font-size:0.7em;font-weight:700;color:#F21F05;text-transform:uppercase;letter-spacing:0.12em;margin-bottom:4px;\">mybusinessfuture<\/div>\n<p><a href=\"https:\/\/mybusinessfuture.com\/wer-drei-tage-braucht-hat-den-lead-schon-verloren\/\" style=\"font-weight:600;line-height:1.4;color:#1a1a1a;text-decoration:none;\">Quien necesita tres d\u00edas ya ha perdido el lead<\/a>\n<\/div>\n<div style=\"padding:14px 18px;border-left:3px solid #d65663;background:#fafafa;\">\n<div style=\"font-size:0.7em;font-weight:700;color:#d65663;text-transform:uppercase;letter-spacing:0.12em;margin-bottom:4px;\">digital-chiefs<\/div>\n<p><a href=\"https:\/\/www.digital-chiefs.de\/dax-konzerne-verlieren-tech-talent-an-den-mittelstand\/\" style=\"font-weight:600;line-height:1.4;color:#1a1a1a;text-decoration:none;\">Los grupos DAX pierden talento tecnol\u00f3gico al sector mediano<\/a>\n<\/div>\n<\/div>\n<p style=\"text-align:right;color:#868e96;font-size:0.85em;margin-top:48px;\"><em>Fuente de imagen: Generada por IA (mayo 2026), certificado C2PA incluido en la imagen<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"La directiva NIS2 obliga a garantizar la seguridad de las cadenas de suministro, mientras que el CLOUD Act estadounidense socava la protecci\u00f3n\u2026","protected":false},"author":10,"featured_media":15398,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"","_yoast_wpseo_title":"NIS2 se encuentra con la Ley CLOUD: \u00bfQui\u00e9n responde por la brecha de terceros pa\u00edses?","_yoast_wpseo_metadesc":"NIS2 exige seguridad en la cadena de suministro, mientras que la ley CLOUD de EE.UU. la socava. La direcci\u00f3n es personalmente responsable.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"","_yoast_wpseo_twitter-image-id":0,"_evm_translation_lang":"","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":["nis2-trifft-cloud-act-wer-haftet-fuer-die-drittstaaten"],"footnotes":""},"categories":[253,261],"tags":[],"class_list":["post-15671","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actualidad","category-strategie-governance-es"],"evm_reading_time_minutes":11,"wpml_language":"es","wpml_translation_of":15393,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/15671","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/comments?post=15671"}],"version-history":[{"count":2,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/15671\/revisions"}],"predecessor-version":[{"id":16524,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/15671\/revisions\/16524"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media\/15398"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media?parent=15671"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/categories?post=15671"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/tags?post=15671"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}