El panorama normativo de ciberseguridad en España se ha complicado significativamente en los últimos años. Donde antes solo existían el RGPD y el ENS, ahora hay que contemplar la Directiva NIS2, el Reglamento DORA, la Ley de Inteligencia Artificial y sus respectivas transposiciones nacionales. Para un empresario, la pregunta no es si alguna de estas normas le afecta, sino cuáles y en qué medida. Esta guía proporciona un mapa completo y práctico de todas las regulaciones de ciberseguridad vigentes en España y una estrategia para abordar su cumplimiento de forma integrada.
RGPD y LOPDGDD: la protección de datos personales
El Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) son las normas que regulan cómo las empresas tratan datos personales. Afectan a todas las empresas sin excepción, desde el autónomo que tiene una lista de clientes en una hoja de cálculo hasta la multinacional con millones de registros.
Los requisitos de ciberseguridad del RGPD se concentran en el artículo 32, que exige implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Esto incluye la seudonimización y el cifrado de datos personales, la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas, la capacidad de restaurar el acceso a los datos en caso de incidente, y un proceso de verificación y evaluación periódica de la eficacia de las medidas.
Las sanciones por incumplimiento pueden alcanzar los 20 millones de euros o el 4% de la facturación global anual, lo que sea mayor. La AEPD impone sanciones crecientes cada año: en 2025 se superaron los 40 millones de euros en multas a empresas españolas.
Consulta mia guía completa del RGPD para empresas para un análisis detallado de todos los requisitos.
Esquema Nacional de Seguridad (ENS)
El ENS (Real Decreto 311/2022) establece los requisitos de seguridad para los sistemas de información del sector público y de sus proveedores. Su ámbito de aplicación incluye a todas las Administraciones Públicas y a todas las empresas que les prestan servicios tecnológicos.
Los requisitos se estructuran en 73 controles organizados en tres marcos (organizativo, operacional y medidas de protección), con niveles de exigencia que varían según la categoría del sistema (BÁSICA, MEDIA o ALTA). La certificación es obligatoria para sistemas de categoría MEDIA y ALTA.
El impacto en el sector empresarial es creciente: cada vez más pliegos de licitación exigen la certificación ENS como requisito de solvencia, y la tendencia se acelera conforme la digitalización del sector público avanza.
Consulta mia guía definitiva del ENS para un análisis exhaustivo del marco normativo.
Directiva NIS2: seguridad de redes y sistemas de información
La Directiva (UE) 2022/2555, conocida como NIS2, es la evolución de la Directiva NIS original y supone un salto cualitativo en las obligaciones de ciberseguridad para un amplio espectro de empresas europeas. Su transposición al ordenamiento español se ha producido a través de la Ley de Coordinación y Gobernanza de la Ciberseguridad.
NIS2 afecta a dos categorías de entidades. Las entidades esenciales incluyen energía, transporte, banca, infraestructuras de mercados financieros, sanidad, suministro de agua potable, infraestructura digital, gestión de servicios TIC B2B, administración pública y espacio. Las entidades importantes incluyen servicios postales, gestión de residuos, fabricación de productos químicos, producción y distribución de alimentos, fabricación en general, proveedores de servicios digitales (marketplaces, motores de búsqueda, redes sociales) e investigación.
Los requisitos principales de NIS2 son la adopción de medidas de gestión de riesgos de ciberseguridad proporcionadas, la notificación de incidentes significativos en plazos estrictos (24 horas para la alerta inicial, 72 horas para la notificación completa), la responsabilidad de los órganos de dirección (que deben aprobar y supervisar las medidas de ciberseguridad, con responsabilidad personal en caso de incumplimiento), y la gestión de la seguridad de la cadena de suministro.
Las sanciones son severas: hasta 10 millones de euros o el 2% de la facturación para entidades esenciales, y hasta 7 millones o el 1,4% para entidades importantes.
DORA: resiliencia operativa digital para el sector financiero
El Reglamento (UE) 2022/2554, conocido como DORA (Digital Operational Resilience Act), establece requisitos específicos de ciberseguridad y resiliencia operativa para entidades financieras: bancos, aseguradoras, empresas de inversión, entidades de pago, proveedores de servicios de criptoactivos y, crucialmente, sus proveedores críticos de servicios TIC.
Los requisitos de DORA incluyen un marco de gestión del riesgo TIC, la clasificación y notificación de incidentes relacionados con las TIC, las pruebas de resiliencia operativa digital (incluyendo pruebas de penetración avanzadas basadas en amenazas), la gestión del riesgo de terceros proveedores TIC, y el intercambio de información sobre amenazas.
Si tu empresa es proveedora de servicios tecnológicos para entidades financieras, DORA le afecta directamente. Los contratos con entidades financieras deberán incluir cláusulas específicas de seguridad, y los proveedores críticos estarán sujetos a supervisión directa.
Ley de Inteligencia Artificial (AI Act)
El Reglamento (UE) 2024/1689 sobre Inteligencia Artificial clasifica los sistemas de IA por niveles de riesgo y establece obligaciones diferenciadas para cada nivel. Aunque no es una norma de ciberseguridad en sentido estricto, incluye requisitos de seguridad y robustez para los sistemas de IA de alto riesgo que afectan directamente a la estrategia de ciberseguridad de las empresas que los desarrollan o despliegan.
Los sistemas de IA de alto riesgo (que incluyen los utilizados en RRHH, crédito, seguros, acceso a servicios públicos y seguridad) deben cumplir requisitos de ciberseguridad específicos: resistencia a manipulaciones, robustez frente a datos adversariales, y mecanismos de protección contra accesos no autorizados.
Estrategia de cumplimiento integrado: no multiplique esfuerzos
La peor estrategia es abordar cada normativa como un proyecto separado. La mejor es diseñar un sistema de gestión de seguridad integrado que cubra los requisitos comunes a todas las normas y añada los requisitos específicos como capas adicionales.
El enfoque integrado utiliza ISO 27001 como base (cubre el 70-80% de los requisitos comunes), añade los controles específicos del ENS para el sector público, incorpora los requisitos de notificación y gobernanza de NIS2, añade la capa financiera de DORA si aplica, e integra el cumplimiento del RGPD como componente transversal de protección de datos.
Este enfoque reduce costes (un solo análisis de riesgos, una sola política de seguridad, un solo programa de formación), elimina contradicciones entre sistemas paralelos, simplifica la gobernanza y el reporting, y facilita las auditorías (un solo sistema que demostrar).
Consulta mio artículo comparativo ENS vs ISO 27001 para entender cómo integrar ambos marcos.
[[CTA-CONTACT]] ¿No sabe qué normativas de ciberseguridad aplican a tu empresa? Hablamos para un análisis personalizado que identifica sus obligaciones y le proponga la estrategia de cumplimiento más eficiente.
Autoría: Ángel Ortega Castro · consultor independiente en estrategia, calidad y digitalización para PYMEs. Relacionado: Auditoría de Ciberseguridad: Evaluación Completa.
¿Necesitas ayuda con esto?
Trabaja conmigo en Auditoría y plan de ciberseguridad
Consultoría a medida en ciberseguridad para PYMEs. Primera sesión sin coste.
Agendar sesión →