6 min de lectura

NIS2, DORA y la Ley de IA de la UE 2026 entran en vigor simultáneamente por primera vez. Un único incidente de seguridad relacionado con un sistema de inteligencia artificial en el sector financiero puede desencadenar tres obligaciones de notificación al mismo tiempo. Los directores de tecnología (CIO) se enfrentan a la decisión de lanzar tres proyectos de cumplimiento independientes o adoptar un enfoque integrado. La elección determinará si la ola regulatoria se convierte en una oportunidad o en una trampa de costes.

En resumen

Por qué todo converge en 2026

La Unión Europea ha elaborado, en los últimos tres años, un paquete regulatorio que transforma profundamente la gobernanza de TI de las empresas europeas. Tres leyes, cada una compleja por sí misma, entran en vigor simultáneamente en 2026: la ley de transposición de NIS2, cuya aplicación comienza en octubre de 2026; el Reglamento sobre Resiliencia Operacional Digital (DORA) para el sector financiero, vigente desde enero de 2025; y la Ley de IA de la UE, con sus obligaciones específicas para sistemas de alto riesgo a partir de agosto de 2026.

El problema no radica en cada ley por separado. El problema es su solapamiento. Una entidad de servicios financieros que utilice un sistema de IA para la evaluación de créditos está sujeta, al mismo tiempo, a NIS2 (como operador de servicios esenciales), a DORA (como empresa financiera) y a la Ley de IA de la UE (como operador de un sistema de IA de alto riesgo). Un incidente de seguridad con dicho sistema podría desencadenar potencialmente tres obligaciones de notificación independientes, con plazos distintos, formatos diferentes y autoridades competentes diversas.

Según un análisis de ADVISORI, muchas empresas subestiman el grado de solapamiento entre estas tres regulaciones. Tratan cada norma como un proyecto aislado y construyen tres silos de cumplimiento normativo. Esto triplica el esfuerzo y genera contradicciones: NIS2 exige la notificación dentro de las 24 horas, mientras que DORA exige la notificación dentro de las 4 horas para incidentes graves de TI y comunicaciones. Quien gestione dos procesos de notificación distintos retrasará ambos.

«NIS2 es una ley y no una opción. La ciberseguridad debe integrarse como una obligación fundamental de la dirección ejecutiva».
Ralf Wintergerst, presidente de Bitkom (2025)

NIS2: ¿Qué les espera a las 29.500 empresas?

La ley de transposición de NIS2 entró en vigor en Alemania en diciembre de 2025. Su aplicación efectiva comienza en octubre de 2026. El número de empresas afectadas aumenta de aproximadamente 4.500 bajo la antigua Directiva NIS a unas 29.500 estimadas. Quedan incluidos 18 sectores y todas las empresas con al menos 50 empleados o un volumen de facturación anual de 10 millones de euros.

Las obligaciones centrales incluyen medidas de gestión de riesgos conforme al artículo 30 de la Ley del Instituto Federal de Ciberseguridad (BSI-Gesetz), un sistema de notificación de incidentes de seguridad con una comunicación inicial dentro de las 24 horas, auditorías periódicas y pruebas documentales, así como garantías de seguridad en la cadena de suministro. Para los CIO, resulta especialmente relevante que la dirección ejecutiva deba supervisar la implementación de dichas medidas y asuma responsabilidad personal en caso de negligencia grave. NIS2 convierte la ciberseguridad en una responsabilidad directiva, y no solo en un tema técnico.

Heise Online informó de que las empresas alemanas ignoran masivamente sus obligaciones bajo NIS2. Muchas ni siquiera saben si están afectadas. Aunque el BSI ha publicado una herramienta de autoevaluación para determinar la afectación, las autocalificaciones de las empresas difieren notablemente de la realidad jurídica. En particular, se subestima la obligación relativa a la cadena de suministro: incluso empresas que no están directamente sujetas a NIS2 pueden verse indirectamente obligadas como proveedoras de empresas afectadas. La cadena se extiende hasta el prestador de servicios de TI del proveedor.

Para los CIO, la cuestión presupuestaria es central: según Bitkom, las empresas afectadas estiman el esfuerzo inicial de implementación de NIS2 entre 100.000 y 500.000 euros, dependiendo de su tamaño y nivel de madurez. Las empresas ya certificadas conforme a ISO 27001 requieren menos esfuerzo. Quienes empiecen desde cero deberán prever el extremo superior del rango. Además, hay que añadir los costes recurrentes derivados de auditorías, monitorización y personal.

DORA: Sector financiero bajo una supervisión más estricta

El Reglamento sobre Resiliencia Operacional Digital (DORA) ha estado en vigor desde el 17 de enero de 2025 y afecta a todo el sector financiero europeo: bancos, compañías de seguros, prestadores de servicios de pago, sociedades de valores y sus proveedores críticos de TI y comunicaciones. DORA se centra en la estabilidad operacional digital y exige una gestión integral de los riesgos de TI y comunicaciones.

Las obligaciones son concretas: las empresas deben identificar, evaluar y gestionar los riesgos de TI y comunicaciones; notificar a la autoridad supervisora los incidentes graves de TI y comunicaciones dentro de las 4 horas; realizar pruebas periódicas de resiliencia, incluidos los denominados Threat-Led Penetration Tests (TLPT); y supervisar a sus proveedores críticos de TI y comunicaciones, verificando su resiliencia.

Para las entidades financieras que también quedan comprendidas bajo NIS2, esto implica: doble obligación de notificación ante incidentes, posibles requisitos divergentes en materia de gestión de riesgos y dos autoridades supervisoras que exigen pruebas documentales. Aunque la Autoridad Federal de Supervisión Financiera (BaFin) ha indicado que busca coherencia con NIS2, en la práctica los detalles aún no están armonizados.

Además, existe la obligación de gestionar los riesgos derivados de terceros proveedores de TI y comunicaciones. DORA exige que las entidades financieras identifiquen, evalúen y supervisen a sus proveedores críticos de TI y comunicaciones. Los proveedores de servicios en la nube, los proveedores de software como servicio (SaaS) y los proveedores de servicios gestionados deben obligarse contractualmente al cumplimiento de determinados estándares de seguridad. Las autoridades supervisoras europeas (ESAs) pueden supervisar directamente a los proveedores externos especialmente críticos. Para los CIO, esto significa que la gestión de proveedores pasa a ser una obligación de cumplimiento normativo, y no simplemente una buena práctica.

Fuentes: BSI, BaFin, Diario Oficial de la UE

Ley de IA de la UE: La tercera capa en la pila de cumplimiento normativo

La Ley de IA de la UE sigue un enfoque basado en el riesgo con cuatro categorías: prácticas prohibidas (vigentes desde febrero de 2025), sistemas de alto riesgo (a partir de agosto de 2026), sistemas de riesgo limitado (obligaciones de transparencia) y sistemas de riesgo mínimo (sin obligaciones). Para los CIO, la categoría de alto riesgo es decisiva: los sistemas de IA utilizados en ámbitos como selección de personal, evaluación de créditos, infraestructuras críticas o aplicación de la ley están sujetos a rigurosas obligaciones de documentación, ensayo y supervisión.

El reto para los CIO: muchas empresas aún desconocen qué sistemas de IA serán clasificados como de alto riesgo. Un sistema de puntuación basado en IA en el área de recursos humanos que realice una preselección de candidatos constituye un sistema de alto riesgo. Un chatbot que responda a tickets internos de TI probablemente no lo sea. Los límites no siempre son claros, y las consecuencias de una clasificación errónea son graves: multas de hasta 35 millones de euros o el 7 % de la facturación anual mundial.

En la práctica, esto significa que los CIO deben elaborar un inventario completo de todos sus sistemas de IA, clasificar cada uno de ellos y, para los sistemas de alto riesgo, desarrollar una documentación técnica exhaustiva. Esta incluye sistemas de gestión de riesgos, directrices de gobernanza de datos, documentación técnica, obligaciones de registro, requisitos de transparencia, medidas para la supervisión humana, así como robustez y ciberseguridad. Además, la Ley de IA de la UE exige una evaluación de conformidad previa a la comercialización. Para los modelos de IA de propósito general, como GPT o Claude, existen obligaciones adicionales de transparencia, independientemente del nivel de riesgo de la aplicación concreta.

La obligación de alfabetización en IA ya entró en vigor en febrero de 2025: las empresas deben garantizar que el personal que opera sistemas de IA posea conocimientos suficientes. Los programas de formación deberían estar ya en marcha. En la práctica, aún faltan en la mayoría de las empresas de los países de habla alemana (DACH).

Para las empresas que también están sujetas a NIS2 y DORA, la Ley de IA de la UE añade una tercera capa de cumplimiento normativo. Un sistema de detección de fraude basado en IA en un banco involucra las tres regulaciones: DORA (gestión de riesgos de TI y comunicaciones), NIS2 (seguridad de servicios esenciales) y la Ley de IA de la UE (IA de alto riesgo). Esto exige, bien un marco de gobernanza integrado, bien tres equipos independientes con redundancias considerables.

El enfoque integrado: Un marco normativo para tres leyes

Los expertos estiman que una gestión integrada del cumplimiento normativo permite ahorrar un esfuerzo considerable de implementación frente a proyectos aislados. La clave reside en una base común: la norma ISO 27001 cubre requisitos esenciales de las tres regulaciones. La gestión de riesgos, la respuesta ante incidentes, la documentación y la mejora continua son elementos centrales de las tres leyes.

Paso 1: Análisis de riesgos unificado. En lugar de llevar a cabo tres análisis de riesgos independientes para NIS2, DORA y la Ley de IA, los CIO deben elaborar un análisis integrado que abarque las tres perspectivas. Un sistema de IA se evalúa simultáneamente en términos de riesgos de seguridad informática (NIS2), resiliencia operacional (DORA) y riesgos específicos de IA (Ley de IA).

Paso 2: Sistema de notificación consolidado. Un único equipo de respuesta ante incidentes, capacitado para conocer y gestionar las tres obligaciones de notificación. El plazo más corto (DORA: 4 horas) se convierte en el estándar. Quien pueda notificar dentro de las 4 horas cumplirá automáticamente también el plazo de 24 horas de NIS2.

Paso 3: Documentación común. Un registro centralizado de cumplimiento normativo para todos los sistemas de IA, sistemas de TI y proveedores externos de TI y comunicaciones. Cada sistema se registra una sola vez y se evalúa frente a las tres regulaciones. Esto evita duplicados y garantiza que no queden brechas.

Paso 4: Consolidación de los informes al consejo de administración. El consejo de administración no necesita tres informes de cumplimiento normativo independientes. Un informe integrado que muestre el nivel de madurez frente a las tres regulaciones proporciona la base necesaria para la toma de decisiones estratégicas y reduce la carga de informes para la organización de TI.

Qué deben hacer los CIO en los próximos seis meses

Los plazos no son negociables. Los CIO que opten por el enfoque integrado deben haber completado, antes de abril de 2026, un mapeo del cumplimiento normativo: ¿qué requisitos de NIS2, DORA y la Ley de IA se solapan? ¿Dónde existen brechas? ¿Qué medidas ya existentes pueden aplicarse a varias regulaciones?

Antes de junio de 2026 debe estar listo el inventario de sistemas de IA. Cada sistema de IA debe clasificarse: ¿es de alto riesgo o no? ¿Es relevante para DORA o no? ¿Es crítico bajo NIS2 o no? Sin este inventario, ninguna estrategia de cumplimiento normativo puede funcionar.

Antes de agosto de 2026, los sistemas de IA de alto riesgo deben cumplir los requisitos de la Ley de IA de la UE. Y antes de octubre de 2026, la implementación de NIS2 debe ser demostrable. Quien pierda estos plazos no solo arriesga sanciones económicas, sino también la responsabilidad personal de la dirección ejecutiva. La colisión regulatoria no es un ejercicio teórico. Es la prueba práctica de la gobernanza digital de las empresas europeas.

Preguntas frecuentes

Fuente de imagen: Christian Wasserfallen / Pexels