Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > NIS2, DORA y la Ley de IA de la UE: Por qué las organizaciones europeas tienen dificultades para mantenerse al día

NIS2, DORA y la Ley de IA de la UE: Por qué las organizaciones europeas tienen dificultades para mantenerse al día

by Marc ten Eikelder updated junio 5, 2026 Cumplimiento Regulatorio
Reading Time: 8 minutes

Las organizaciones europeas no están fallando en el cumplimiento normativo por falta de compromiso. Están fallando porque tres grandes marcos regulatorios llegaron casi al mismo tiempo, con requisitos que se superponen pero son distintos, cronogramas de implementación inconsistentes entre los estados miembros y obligaciones de cumplimiento que exigen su propia documentación, auditorías y cadenas de evidencia. El resultado es un entorno de cumplimiento que no solo es exigente, sino que está desalineado estructuralmente respecto a cómo la mayoría de las organizaciones han construido sus programas de seguridad y gobernanza.

En la conferencia Span Cyber Security Arena, la experta en gobernanza de ciberseguridad Antonija Vojnović puso cifras al problema: el 96% de las empresas de servicios financieros en EMEA informan que su resiliencia de datos aún no cumple con las expectativas de DORA. No es una estadística sobre las organizaciones menos preparadas. Es un hallazgo casi unánime en un sector que ha dedicado importantes recursos al cumplimiento durante décadas.

NIS2, DORA y la Ley de IA de la UE comparten un objetivo común: proteger a las organizaciones y a las personas cuyos datos gestionan frente a riesgos sistémicos de ciberseguridad y relacionados con la IA. Pero cada una operacionaliza ese objetivo con definiciones de alcance, requisitos de evidencia y organismos de supervisión diferentes. Para las organizaciones sujetas a las tres, la carga de cumplimiento no se suma: se multiplica.

5 conclusiones clave

1. Tres grandes marcos regulatorios de la UE están en vigor simultáneamente, con solo orientación parcial disponible para cada uno.

La aplicación de NIS2 varía según el estado miembro. Los estándares técnicos RTS de DORA aún se están finalizando. El plazo de agosto de 2026 para sistemas de alto riesgo de la Ley de IA de la UE se está extendiendo para algunas categorías. Las organizaciones no pueden esperar a que haya claridad: deben construir la infraestructura de cumplimiento ahora, frente a requisitos que siguen evolucionando.

2. El 96% de las empresas de servicios financieros de EMEA afirma que su resiliencia de datos no cumple con las expectativas de DORA.

DORA no es un estándar aspiracional, sino uno operativo, con requisitos prescriptivos para la gestión de riesgos TIC, clasificación y notificación de incidentes, supervisión de proveedores externos y pruebas de resiliencia operativa digital. Un 96% de incumplimiento significa que el sector parte de un déficit importante, y los controles que más faltan son los mismos que también exigen NIS2 y la Ley de IA de la UE.

3. La implementación de NIS2 varía significativamente entre los estados miembros de la UE.

Las multinacionales que operan en varios países enfrentan diferentes cronogramas de auditoría, procesos de autoridades nacionales competentes y posibles interpretaciones distintas del mismo texto de la directiva. El requisito de notificación preliminar en 24 horas no se adapta a las variaciones entre estados: el registro de auditoría debe existir antes de que ocurra el incidente, no armarse durante el mismo.

4. Se acerca el plazo de agosto de 2026 para el procesamiento de alto riesgo según la Ley de IA de la UE, con baja conciencia sobre los riesgos de filtración de datos de IA.

Se prevé que el gasto de la UE en IA alcance los 290 mil millones de dólares para 2029. Las organizaciones que no han inventariado dónde la IA interactúa con datos regulados ya van retrasadas en una obligación con multas de hasta el 7% de la facturación anual global. La IA en la sombra —herramientas que operan fuera del marco de gobernanza— es relevante porque la Ley exige inventarios documentados de IA como paso fundamental.

5. La respuesta arquitectónica es una única plataforma que genere evidencia de cumplimiento para los tres marcos a la vez.

NIS2, DORA y la Ley de IA de la UE exigen controles de acceso, manejo cifrado de datos, registro de incidentes y trazabilidad de auditoría. Las organizaciones que implementan estos controles una sola vez, en una plataforma unificada, cumplen los requisitos de los tres sin mantener tres cadenas de evidencia separadas que multiplican costos y riesgos de auditoría.

¿Qué estándares de cumplimiento de datos importan?

Léelo ahora

Lo que realmente exige NIS2 a las organizaciones europeas

NIS2 amplía la Directiva original de Redes y Sistemas de Información para cubrir energía, transporte, infraestructura financiera, salud e infraestructura digital, e introduce responsabilidad ejecutiva directa ante fallos de cumplimiento. Directivos y altos cargos de organizaciones sujetas pueden ser responsables personalmente por infracciones sistemáticas de NIS2, un cambio que ha llevado la gobernanza de ciberseguridad de TI a la mesa directiva.

Los requisitos sustantivos de la directiva incluyen medidas técnicas y organizativas adecuadas al riesgo, con especial atención a la seguridad de la cadena de suministro, control de acceso y comunicaciones cifradas. Las organizaciones deben notificar a las autoridades nacionales competentes en un plazo de 24 horas tras conocer un incidente significativo, y entregar un informe más detallado en 72 horas.

Los plazos de notificación de 24 y 72 horas son el punto de presión operativo. Cumplirlos requiere tener los registros de auditoría y atribución listos antes de que ocurra un incidente, no armarlos durante el mismo. Las organizaciones que dependen de registros dispersos en múltiples plataformas —correo electrónico, transferencia de archivos, almacenamiento en la nube, MFT— para reconstruir una secuencia de brecha descubrirán que 24 horas pasan muy rápido si se dedican a recopilar logs en vez de analizar el incidente.

El cumplimiento de NIS2 también es una obligación de la cadena de suministro. Las organizaciones sujetas deben verificar que sus proveedores críticos de servicios TIC cumplan estándares de seguridad equivalentes: evaluaciones de proveedores, requisitos contractuales de seguridad y la capacidad de demostrar que la postura de cumplimiento se extiende a dependencias de terceros.

Lo que exige DORA y la mayoría de las empresas financieras aún no tiene

DORA se aplica a entidades financieras reguladas a nivel de la UE —bancos, firmas de inversión, aseguradoras, instituciones de pago y sus proveedores críticos de servicios TIC— y establece un marco unificado para la resiliencia operativa digital en el sector financiero europeo. A diferencia de NIS2, que fija requisitos mínimos y permite a los estados miembros añadir más, DORA es un reglamento, no una directiva. Sus requisitos son directamente aplicables y uniformes en todos los estados miembros de la UE.

El 96% de incumplimiento en EMEA refleja la distancia entre las expectativas operativas de DORA y cómo la mayoría de las instituciones financieras han estructurado históricamente su gestión de riesgos TIC. DORA exige un marco integral de gestión de riesgos TIC que abarque identificación, protección, detección, respuesta y recuperación. Las organizaciones deben clasificar los incidentes TIC según los criterios de DORA y reportar los incidentes graves en plazos específicos.

Los requisitos de reducción de riesgos TIC de DORA se extienden a cómo las instituciones financieras gestionan los datos en tránsito y en reposo en sus canales operativos. Los sistemas cifrados de transferencia gestionada de archivos mediante los cuales las instituciones financieras intercambian datos sensibles con contrapartes, reguladores y proveedores deben cumplir los estándares de seguridad de DORA. Muchas organizaciones están descubriendo que su infraestructura MFT heredada, diseñada para el rendimiento y no para el cumplimiento, carece de la profundidad de trazabilidad que exige DORA.

Las disposiciones de DORA sobre riesgo de terceros exigen que las entidades financieras mantengan un registro de todos los proveedores de servicios TIC que soportan funciones críticas o importantes, realicen debida diligencia, incluyan cláusulas contractuales específicas sobre seguridad y notificación de incidentes y demuestren monitoreo continuo del desempeño del proveedor. Para organizaciones que han dependido de relaciones informales con proveedores, construir este registro y la infraestructura contractual requerida es un esfuerzo de varios meses.

Por qué la Ley de IA de la UE llega a un entorno ya saturado

La Ley de IA de la UE añade una tercera dimensión de cumplimiento a un entorno ya tensionado por NIS2 y DORA. Sus requisitos para sistemas de IA de alto riesgo —que abarcan IA usada en empleo, decisiones crediticias, educación, orden público y gestión de infraestructuras críticas— implican obligaciones sobre sistemas de gestión de riesgos, gobernanza de datos, transparencia y supervisión humana, todo bajo un marco legal distinto y mecanismos de aplicación diferentes.

La observación de Vojnović —que la conciencia sobre los riesgos de filtración de datos de IA por herramientas empresariales sigue siendo baja— es significativa. Las organizaciones sujetas a la Ley de IA de la UE no solo deben gobernar los sistemas de IA que implementan intencionadamente; también deben considerar la IA que entra en su entorno a través de funciones integradas en software empresarial, integraciones de terceros y herramientas adoptadas por empleados. El problema de la IA en la sombra es relevante porque la Ley exige inventarios documentados de IA como paso fundamental antes de poder cumplir cualquier otra obligación.

El problema de la evidencia superpuesta

Lo que hace especialmente desafiante el entorno NIS2-DORA-Ley de IA de la UE no es que los requisitos sean individualmente irrazonables. El problema es operativo: cumplir los tres simultáneamente exige generar evidencia en tres lenguajes regulatorios, desde tres conjuntos de sistemas técnicos, para tres procesos de auditoría distintos.

NIS2 exige registros de detección y notificación de incidentes. DORA exige documentación de gestión de riesgos TIC y logs de clasificación de incidentes. La Ley de IA de la UE exige evaluaciones de riesgos de sistemas de IA y documentación de gobernanza de datos. Los controles subyacentes que generan esta evidencia —registro de accesos, manejo cifrado de datos, trazabilidad de auditoría, procedimientos de respuesta a incidentes— son en gran parte los mismos. El problema es que la mayoría de las organizaciones ha implementado estos controles en silos: un set de logs para correo electrónico, otro para transferencia de archivos, un tercero para almacenamiento en la nube, sin un registro unificado que cumpla los tres marcos desde una única fuente autorizada.

La arquitectura de confianza cero resuelve esto tratando cada acceso y evento de intercambio de datos como una decisión de política que debe ser autenticada, autorizada, atribuida y registrada. En un entorno de confianza cero, el registro de auditoría es continuo e integral por diseño, no armado a posteriori: genera la evidencia que NIS2 necesita para la notificación de incidentes, DORA para la gestión de riesgos TIC y la Ley de IA de la UE para la documentación de gobernanza de datos, todo desde un único registro con atribución consistente.

Qué cambia el enfoque de plataforma unificada

La plataforma Kiteworks ofrece capacidades de cumplimiento NIS2, DORA y GDPR desde una sola arquitectura. El cifrado validado FIPS 140-3, controles de acceso aplicados por ABAC y registro de auditoría inviolable se aplican a cada intercambio de contenido —correo electrónico seguro, SFTP, transferencia gestionada de archivos y uso compartido seguro de archivos— mediante el mismo motor de políticas y el mismo registro de auditoría.

Para DORA, la evidencia de clasificación de incidentes TIC, los registros de comunicación con terceros y la documentación de control de acceso que las autoridades supervisoras solicitarán durante una auditoría DORA ya están presentes en la trazabilidad de Kiteworks. Para NIS2, los plazos de notificación preliminar de 24 horas y de informe detallado de 72 horas se vuelven manejables cuando el registro de auditoría ya existe. Para la Ley de IA de la UE, el Secure MCP Server de Kiteworks y la puerta de enlace de datos IA controlan a qué pueden acceder los agentes de IA y registran cada interacción en el mismo registro inviolable que cada interacción humana.

El objetivo no es tratar cada regulación como un proyecto de implementación separado. El objetivo es construir la infraestructura de seguridad y gobernanza que los tres marcos requieren en común, una sola vez, y generar la evidencia que cada uno necesita desde esa base única. La Red de Contenido Privado de Kiteworks es esa base.

Para saber más sobre cómo demostrar cumplimiento con estas y otras regulaciones de privacidad de datos, solicita una demo personalizada hoy mismo.

Preguntas frecuentes

NIS2 es una directiva: los estados miembros de la UE deben transponerla a su legislación nacional, lo que genera variaciones en los cronogramas de implementación. Se aplica a energía, transporte, infraestructura financiera y servicios digitales. DORA es un reglamento, directamente aplicable y uniforme en todos los estados miembros, dirigido específicamente a entidades financieras. Ambos se superponen para instituciones financieras sujetas a los dos. Construir controles que cumplan el mayor denominador común —registro de auditoría inviolable, manejo cifrado de datos, supervisión de proveedores externos— reduce la duplicidad entre ambos programas.

Las entidades financieras deben mantener un registro de todos los proveedores de servicios TIC que soportan funciones críticas, con contratos que cubran estándares de seguridad, notificación de incidentes, derechos de auditoría y ubicación de datos. Además, deben demostrar monitoreo continuo ante las autoridades supervisoras. La mayor brecha para la mayoría de las organizaciones no es el lenguaje contractual, sino la generación de evidencia: los logs que prueban la supervisión continua, no solo el texto que la exige. Los programas de administración de riesgos de terceros basados solo en el cumplimiento contractual y sin monitoreo operativo son estructuralmente vulnerables ante una revisión DORA.

El 2 de agosto de 2026 es la fecha de aplicación para las obligaciones sobre sistemas de IA de alto riesgo, con extensiones escalonadas: 16 meses para sistemas nuevos o modificados sustancialmente del Anexo III, 12 meses para IA integrada en regulaciones de seguridad de productos de la UE. A pesar de estas extensiones, el requisito fundamental —mantener un inventario de sistemas de IA y clasificaciones de riesgo— aplica desde el 2 de agosto. Las multas por incumplimiento alcanzan el 7% de la facturación anual global. Las organizaciones que no han iniciado la auditoría de sus sistemas de IA ya van retrasadas.

Identifica los controles comunes a los tres marcos e impleméntalos una sola vez mediante una arquitectura unificada. Controles de acceso, manejo cifrado de datos, registro de incidentes y trazabilidad de auditoría son requeridos por los tres con diferentes vocabularios pero medidas técnicas similares. Una plataforma que implemente estos controles una vez —con aplicación ABAC, cifrado validado por FIPS y registro inviolable— genera la evidencia que cada marco exige desde una única fuente autorizada. La postura de gobernanza de datos construida para la gestión de riesgos TIC de DORA también satisface los requisitos de notificación de NIS2 y las obligaciones de gobernanza de datos de la Ley de IA de la UE.

Comienza por los controles que generen la mayor cobertura de evidencia: registro de accesos que capture cada intercambio de contenido con atribución de identidad y marcas de tiempo, comunicaciones cifradas en todos los canales de intercambio de datos y un plan de respuesta a incidentes documentado con procedimientos de notificación probados. Estas tres medidas producen evidencia relevante para el cumplimiento de los requisitos de notificación de NIS2, la clasificación de incidentes TIC de DORA y el monitoreo operativo de la Ley de IA de la UE al mismo tiempo. El descubrimiento del inventario de sistemas de IA debe ejecutarse en paralelo: saber qué IA hay en tu entorno es el requisito previo para cualquier otra obligación de la Ley de IA.

Recursos adicionales

  • Artículo del Blog La lucha por tus datos: cómo las leyes CLOUD y SHIELD enfrentan seguridad y privacidad
  • Artículo del Blog Protege datos sensibles mapeando DSPM a tus objetivos de cumplimiento
  • Resumen Las 3 principales violaciones de FERPA y cómo evitarlas
  • Artículo del Blog Orden Ejecutiva 14117: Protegiendo los datos personales sensibles de los estadounidenses
  • Artículo del Blog ¿Necesitas cumplir con NIS2? Empieza con ISO 27001

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks