¿Qué normativa me aplica? Descúbrelo en 2 minutos.
Un wizard de 10 preguntas que cruza el sector, el tamaño y la actividad de tu empresa con el ENS, la NIS2, DORA, el AI Act y el RGPD — y te dice, ámbito por ámbito, si te aplica, qué te exige y por dónde empezar.
¿En qué sector opera tu empresa?
Determina si entras en el ámbito de la Directiva NIS2 (Anexo I y Anexo II).
¿Cuántos empleados tiene tu empresa?
El tamaño es clave para saber si NIS2 o el RGPD te exigen más o menos.
¿Cuál es la facturación o el balance anual de tu empresa?
Usamos el dato más desfavorable (empleados o facturación) para no infravalorar tu obligación.
¿Tu empresa presta servicios, mediante contrato, a alguna Administración Pública?
Contratos, concursos o pliegos con ayuntamientos, comunidades autónomas, ministerios u organismos públicos.
¿Tu organización es un organismo del sector público?
Ayuntamiento, diputación, organismo autónomo, universidad pública, entidad dependiente de una Administración…
¿Tu empresa es una entidad financiera o presta servicios TIC a entidades financieras?
Determina si te aplica DORA, el reglamento europeo de resiliencia operativa digital.
¿Desarrollas o comercializas sistemas de inteligencia artificial?
Bajo el AI Act, esto te convierte en "proveedor" de IA, con obligaciones reforzadas.
¿Usas en tu actividad sistemas de IA de terceros bajo tu propia autoridad?
Chatbots, herramientas de selección de personal, scoring, generación de contenido… Esto te convierte en "desplegador" de IA.
¿En qué ámbito se usa ese sistema de IA?
Algunos usos están clasificados como "alto riesgo" en el Anexo III del AI Act.
¿Tratas datos de categoría especial o haces monitorización sistemática a gran escala de personas?
Salud, biometría, ideología, orientación sexual… o geolocalización, videovigilancia, perfilado y scoring a gran escala.
Esto es lo que hemos encontrado para tu empresa
Cinco pasos, ningún dato enviado.
Contestas 10 preguntas
Sobre tu sector, tamaño, facturación, relación con Administración Pública, sector financiero y uso de IA.
Todo ocurre en tu navegador
La lógica es JavaScript local: ninguna respuesta se envía a un servidor ni se almacena en ningún sitio.
Cruzamos tus respuestas
Con los criterios de aplicación de cada normativa: sector y tamaño para NIS2, relación contractual para ENS, actividad financiera para DORA, rol para el AI Act.
Obtienes 5 veredictos
ENS, NIS2, DORA, AI Act y RGPD: te aplica, no te aplica, o probablemente — con las obligaciones clave de cada uno.
Profundizas si hace falta
Cada tarjeta enlaza a la guía completa de esa normativa. Y si prefieres hablarlo con una persona, hay una sesión gratuita al final.
Cinco normativas, un solo punto de partida.
Entre 2022 y 2026, el marco de cumplimiento normativo para empresas españolas se ha vuelto denso de golpe. El Esquema Nacional de Seguridad (ENS) lleva desde 2010 exigiendo medidas de seguridad a la Administración y a sus proveedores tecnológicos. La Directiva NIS2 amplía el perímetro de la ciberseguridad obligatoria a sectores enteros de la economía, con o sin contrato público de por medio. El Reglamento DORA hace lo propio con el sector financiero y sus proveedores tecnológicos. El AI Act europeo empieza a exigir obligaciones concretas a quien desarrolla o usa sistemas de inteligencia artificial. Y el RGPD, el más veterano de todos, sigue aplicando a prácticamente cualquier empresa que trate datos de personas — que son todas.
El problema no es la falta de información: hay guías extensas sobre cada normativa por separado. El problema es que nadie te dice, cruzando tu sector, tu tamaño y tu actividad concreta, cuáles de las cinco te tocan realmente y cuáles no. Una pyme de fabricación industrial de 80 empleados puede estar dentro del Anexo II de la NIS2 sin saberlo. Una consultora de 6 personas que vende un chatbot de selección de personal puede ser "proveedor de IA de alto riesgo" bajo el AI Act sin haberse planteado nunca esa etiqueta. Un despacho que no toca ni una Administración Pública puede dar por hecho, erróneamente, que el ENS no le afecta nunca — hasta que se presenta a un concurso.
Qué evalúa cada bloque del test
ENS — Regulado por el Real Decreto 311/2022, obliga al sector público y a las empresas privadas que, mediante relación contractual, prestan servicios tecnológicos a una Administración Pública. Si no trabajas con AAPP, hoy no te aplica.
NIS2 — La directiva europea de ciberseguridad clasifica los sectores en dos anexos de criticidad y fija el umbral de aplicación en la mediana empresa (a partir de 50 empleados o 10 millones de euros de facturación/balance). En España, la ley que la traspone —la Ley de Coordinación y Gobernanza de la Ciberseguridad— sigue en tramitación parlamentaria, pero las obligaciones de fondo ya se exigen en la práctica.
DORA — Es de aplicación directa (no necesita trasposición) desde el 17 de enero de 2025 y afecta a más de veinte tipos de entidades financieras, además de a los proveedores terceros de servicios TIC que les dan soporte crítico.
AI Act — El Reglamento (UE) 2024/1689 distingue entre "proveedores" (quien desarrolla o comercializa sistemas de IA) y "desplegadores" (quien los usa bajo su autoridad), y clasifica el riesgo según el uso: los sistemas del Anexo III (RRHH, crédito, sanidad, biometría, justicia…) se consideran de alto riesgo. La aplicación general del reglamento llega el 2 de agosto de 2026; las obligaciones específicas de los sistemas de alto riesgo del Anexo III se han aplazado al 2 de diciembre de 2027 tras el Digital Omnibus aprobado en junio de 2026.
RGPD — Aplica a cualquier empresa que trate datos personales, sin excepción de tamaño. Lo que varía es la intensidad de las obligaciones: si el Delegado de Protección de Datos es obligatorio, si el Registro de Actividades de Tratamiento tiene alguna exención (empresas de menos de 250 empleados con tratamientos ocasionales y sin datos sensibles) y si hace falta una Evaluación de Impacto (EIPD) antes de empezar a tratar ciertos datos.
Si tras el test alguna de las cinco normativas te aplica y no sabes por dónde empezar, en auditoría de IA y gobernanza y en la consultoría de cumplimiento del AI Act tienes el detalle de cómo se aborda cada una en la práctica, con plazos y entregables reales.
Departamento de Seguridad Nacional — Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad (transposición NIS2)
EUR-Lex — Reglamento (UE) 2022/2554, DORA
artificialintelligenceact.eu — Anexo III, sistemas de IA de alto riesgo
AEPD — Cuándo se debe nombrar un Delegado de Protección de Datos
Antes de empezar el test.
¿Qué normativas evalúa esta herramienta?+
El ENS (Esquema Nacional de Seguridad, RD 311/2022), la Directiva NIS2 de ciberseguridad, el Reglamento DORA de resiliencia operativa digital para el sector financiero, el Reglamento europeo de IA (AI Act) y el RGPD de protección de datos.
¿El resultado del test es una asesoría legal?+
No. Es una orientación automática basada en las respuestas que das, pensada para que sepas por dónde empezar. No sustituye el análisis de un asesor legal o de cumplimiento normativo sobre tu caso concreto.
¿Se guardan mis respuestas o mis datos?+
No. El test se ejecuta entero en tu navegador con JavaScript: no se envía ninguna respuesta a ningún servidor ni se guarda nada, salvo que decidas reservar una sesión al final.
Mi empresa es pequeña, ¿puedo estar exenta de todo?+
El RGPD te aplica siempre, sea cual sea tu tamaño. El ENS, la NIS2 y DORA dependen de tu sector y de si trabajas con Administración Pública o con entidades financieras — una microempresa puede estar exenta de NIS2 pero rara vez de RGPD. El AI Act depende de si desarrollas o usas sistemas de IA, no del tamaño.
¿Por qué la NIS2 aparece como "en trámite" en España?+
España debía transponer la Directiva NIS2 antes del 17 de octubre de 2024. A julio de 2026 la Ley de Coordinación y Gobernanza de la Ciberseguridad que la traspone sigue en tramitación parlamentaria, aunque las obligaciones de fondo ya se están exigiendo en la práctica por reguladores y clientes europeos.
¿Quieres que lo revisemos juntos?
Agenda una sesión gratuita de 30 minutos. Repasamos tu resultado, aclaramos qué normativa pesa más en tu caso y qué pasos concretos tomar primero.
Agendar sesión gratuita →