ENS, NIS2, DORA y AI Act: cómo saber qué normativa aplica


La pregunta parece sencilla: qué normativa aplica a una empresa. La respuesta, casi nunca lo es. Una misma organización puede estar sometida al Esquema Nacional de Seguridad, al RGPD, a NIS2, a DORA, al Reglamento de IA, a eIDAS, al Data Act, a normas sectoriales de telecomunicaciones, contratación pública, protección de infraestructuras críticas o incluso a estándares como ISO 27001, NIST o CIS por exigencia contractual.

El problema no es solo jurídico. También es operativo. Cumplir no consiste en tener una lista de normas en una matriz de Excel, sino en traducir obligaciones dispersas en controles, políticas, evidencias y responsabilidades que funcionen dentro de la organización. Por eso, en tecnología y ciberseguridad, la primera pregunta no debería ser “qué norma me aplica”, sino “qué servicios presto, a quién, con qué datos, en qué sector y bajo qué dependencias críticas”.

La norma depende del servicio, no del logo de la empresa

Una empresa puede ser una consultora tecnológica, un proveedor cloud, una entidad financiera, un operador de servicios gestionados, una plataforma de datos, un proveedor de firma electrónica o una compañía que presta servicios a la Administración. Cada una de esas actividades cambia el mapa de cumplimiento.

El ENS, por ejemplo, tiene sentido cuando se prestan servicios a administraciones públicas o cuando se gestionan sistemas que dan soporte a servicios públicos digitales. No se trata solo de “ser tecnológico”, sino de formar parte de un entorno donde la seguridad de la información pública exige medidas concretas, categorización de sistemas, controles y auditoría.

NIS2 se mueve en otro plano. La directiva europea busca elevar el nivel común de ciberseguridad en sectores esenciales e importantes, con más peso en gobernanza, gestión de riesgos, continuidad, notificación de incidentes y cadena de suministro. Su impacto no se limita a empresas que se consideran “críticas” en sentido clásico. También puede alcanzar a proveedores tecnológicos que sostienen servicios relevantes para terceros.

DORA, en cambio, mira de forma específica al sector financiero y a su resiliencia operativa digital. Bancos, aseguradoras, entidades de pago, empresas de inversión y otros actores financieros deben gestionar el riesgo TIC con especial rigor. Además, la norma pone un foco muy claro en los proveedores tecnológicos externos, porque la resiliencia de una entidad financiera depende cada vez más de cloud, software, comunicaciones, ciberseguridad y servicios gestionados.

El Reglamento de IA añade otra capa. No pregunta solo si una empresa usa tecnología, sino para qué usa inteligencia artificial, con qué nivel de riesgo, sobre qué personas y en qué contexto. Un chatbot interno no plantea los mismos problemas que un sistema de selección de personal, scoring crediticio, biometría, vigilancia, educación, salud o infraestructuras críticas.

La consecuencia es clara: dos empresas parecidas desde fuera pueden tener obligaciones muy distintas. Y dos servicios dentro de la misma empresa pueden estar sometidos a marcos diferentes.

El núcleo común: menos normas aisladas y más modelo integrado

La acumulación regulatoria genera una sensación de caos. ENS, NIS2, DORA, RGPD, AI Act, eIDAS, Data Act, Data Governance Act, CER, normativa de infraestructuras críticas, telecomunicaciones, ISO 27001, NIST, CIS. La lista crece y cada marco tiene su propio lenguaje.

Pero cuando se baja al terreno técnico y organizativo, muchas obligaciones se repiten con matices. Casi todas exigen identificar riesgos, asignar responsabilidades, controlar accesos, proteger identidades, gestionar vulnerabilidades, monitorizar eventos, conservar evidencias, responder incidentes, probar continuidad, revisar proveedores y formar a las personas.

Ahí está la oportunidad para despachos, consultoras, responsables de cumplimiento, CISOs y equipos legales internos. En lugar de construir un programa distinto para cada norma, conviene diseñar un núcleo común de cumplimiento. Ese núcleo debe servir como base y después adaptarse a los requisitos específicos de cada marco.

La diferencia está en la profundidad. El RGPD obliga a pensar en base jurídica, derechos de los interesados, encargados de tratamiento, privacidad desde el diseño, transferencias internacionales y brechas de datos personales. DORA exigirá pruebas de resiliencia, gestión del riesgo TIC y control específico sobre terceros tecnológicos. NIS2 refuerza la responsabilidad de los órganos de dirección y las medidas organizativas y técnicas. El AI Act introduce gobierno del ciclo de vida de sistemas de IA, documentación, supervisión humana y gestión de riesgos según categoría. El ENS baja más al control concreto y a la demostración de conformidad.

No son piezas intercambiables, pero sí pueden apoyarse sobre una misma arquitectura de gobierno.

El error de convertir compliance en burocracia

El cumplimiento tecnológico se degrada cuando se convierte en una fábrica de documentos que nadie usa. Políticas copiadas, registros sin actualizar, mapas de riesgos genéricos y procedimientos que no coinciden con la operación real dan una falsa sensación de seguridad.

En un procedimiento judicial, una inspección, una auditoría o una investigación tras un incidente, la pregunta relevante no será solo si la empresa tenía una política aprobada. Será si esa política estaba implantada, si había responsables claros, si existían evidencias, si los controles eran proporcionados y si las decisiones podían reconstruirse.

Por eso el cumplimiento debe conectarse con los sistemas reales: IAM, MFA, EDR, SIEM, gestión de parches, inventario de activos, CMDB, ticketing, contratos con proveedores, cláusulas de seguridad, planes de continuidad, backups, registros de formación y actas de comités. La evidencia no debería fabricarse al final. Debería generarse de forma natural en la operación diaria.

También conviene separar lo obligatorio de lo recomendable. ISO 27001, NIST CSF o CIS Controls no son leyes europeas por sí mismas, pero pueden convertirse en exigencias prácticas cuando aparecen en contratos, pliegos, auditorías, pólizas de ciberseguro o compromisos con clientes. En muchos casos ayudan a ordenar el cumplimiento legal, aunque no sustituyen el análisis jurídico de aplicabilidad.

Qué deberían hacer las organizaciones

El primer paso es mapear servicios. No basta con describir la empresa por su CNAE o por su marca comercial. Hay que identificar qué servicios presta, qué clientes tiene, si trabaja con sector público, si opera en sectores esenciales, si procesa datos personales sensibles, si presta servicios TIC a entidades reguladas, si utiliza IA en procesos de alto riesgo o si forma parte de una cadena de suministro crítica.

El segundo paso es construir una matriz de aplicabilidad. Cada norma debe vincularse a servicios concretos, no a la organización en abstracto. Esa matriz debe indicar obligaciones, responsables, evidencias, controles existentes, brechas y prioridad de actuación.

El tercer paso es crear un catálogo común de controles. Gestión de riesgos, gobierno, identidades, accesos, MFA, vulnerabilidades, monitorización, logs, incidentes, continuidad, proveedores, formación y auditoría. A partir de ahí se añaden capas específicas: privacidad para RGPD, resiliencia TIC para DORA, categorización y medidas del ENS, gobierno de IA para AI Act, requisitos de datos para Data Act o identificación electrónica y servicios de confianza en eIDAS.

El cuarto paso es asignar propiedad. Legal no puede cumplir solo. Sistemas tampoco. Seguridad, compliance, compras, recursos humanos, dirección, negocio y proveedores deben participar. La normativa tecnológica moderna tiene una característica común: exige gobierno, no solo controles técnicos.

La verdadera madurez llega cuando la empresa deja de preguntar “qué documento necesito” y empieza a preguntar “qué riesgo estoy gestionando, con qué control, quién responde y cómo lo demuestro”. Ese cambio reduce duplicidades, baja el ruido regulatorio y permite que el cumplimiento deje de ser un coste defensivo para convertirse en una forma de ordenar la organización.

Preguntas frecuentes

¿Puede aplicarme más de una normativa a la vez?
Sí. Es habitual que una misma empresa esté sometida a privacidad, ciberseguridad, resiliencia, IA, datos y obligaciones sectoriales al mismo tiempo, sobre todo si presta servicios tecnológicos o trabaja con sectores regulados.

¿ISO 27001, NIST o CIS son obligatorios?
No son leyes europeas en sí mismos, pero pueden ser exigibles por contrato, licitación, auditoría, cliente, aseguradora o política interna. También sirven como base práctica para ordenar controles.

¿Cuál es el primer paso para saber qué normativa aplica?
Identificar los servicios que presta la organización, los sectores a los que sirve, los datos que trata, sus proveedores críticos y si opera con Administración pública, entidades financieras, infraestructuras críticas o sistemas de IA.

¿Qué es mejor: cumplir norma por norma o crear un modelo común?
Lo más eficiente suele ser crear un núcleo común de controles y después añadir requisitos específicos por norma. Así se evitan duplicidades y se facilita la generación de evidencias.