Tres regulaciones redefinen el marco de tecnología y riesgos en la UE: “AI Act” (IA), “NIS2” (ciberseguridad para sectores esenciales e importantes) y “DORA” (resiliencia operativa digital para entidades financieras y proveedores críticos TIC). Aquí tienes un plan único para adelantarte a auditorías, clientes y supervisores.
Fechas clave que no puedes pasar por alto
- AI Act: prohibiciones desde 02/02/2025; “GPAI” aplicable desde 02/08/2025; alto riesgo (Anexo III) desde 02/08/2026 (y productos regulados, hasta 02/08/2027).
- NIS2: debía transponerse antes del 17/10/2024; en España (sep-2025) sigue en tramitación la Ley de Coordinación y Gobernanza de la Ciberseguridad; obliga a medidas y a notificar incidentes (24h/72h/1 mes).
- DORA: aplicable desde 17/01/2025; exige gestión de riesgo TIC, reportar incidentes y gobernar proveedores críticos, con estándares técnicos de reporte ya vigentes.
¿A quién aplica cada norma?
El AI Act aplica a proveedores y usuarios profesionales de sistemas de inteligencia artificial, con un enfoque basado en el riesgo que distingue entre sistemas prohibidos, de alto riesgo y GPAI.
Por su parte, NIS2 afecta a las entidades esenciales e importantes de sectores como energía, agua, salud, transporte, banca, digital, gestión de residuos y alimentación, entre otros recogidos en los anexos de la directiva.
Finalmente, DORA se dirige a las entidades financieras —como banca, seguros, inversión o criptoactivos— y a los proveedores críticos de servicios TIC que estén sometidos a supervisión.
Mapa de obligaciones
En el caso del AI Act, las obligaciones incluyen la gobernanza de datos, la elaboración de documentación técnica, la gestión de riesgos, la evaluación de conformidad y el registro para los sistemas de alto riesgo; también exige transparencia y políticas de uso específicas para los GPAI, así como respetar las prohibiciones expresas, como por ejemplo el social scoring.
La NIS2, en cambio, impone a las organizaciones la necesidad de realizar un análisis de riesgos, establecer políticas y controles mínimos que abarquen la gestión de incidentes, la continuidad, la seguridad de la cadena de suministro y el cifrado. Además, introduce la responsabilidad del órgano de dirección, la obligación de formar al personal y unos plazos claros de notificación de incidentes (24 horas, 72 horas y un mes).
Por último, DORA establece un marco de gestión de riesgos TIC que incluye el registro de proveedores, contratos con cláusulas obligatorias, pruebas de resiliencia —incluidas las TLPT para entidades designadas— y un régimen estricto de notificación de incidentes con hitos marcados a las 4 horas, 24 horas, 72 horas y 30 días.
Plan de 90 días para el cumplimiento de la normativa (aplicable a todos los tamaños de empresa)
- Día 0–10: inventario de procesos y activos (servicios críticos, datos, IA en uso), matriz de riesgo y mapa de cumplimiento por norma.
- Día 11–30: políticas y comités: IA (uso responsable), ciberseguridad (NIS2-ready), continuidad, gestión de terceros; define responsables y reporting a dirección.
- Día 31–60: contratos TIC y proveedores: añade anexos DORA/NIS2 (SLAs, subcontratación, auditoría, notificaciones), registro de tratamientos/IA, procedimiento de evaluación de impacto.
- Día 61–90: pruebas (IR table‑top, backup restore, phishing, DR), pilotos de TLPT cuando aplique, simulacro de notificación en 24/72h y tablero de KPIs.
Notificación de incidentes: cronómetro y playbook
- NIS2: aviso temprano en 24 h; notificación en 72 h; informe final en 1 mes.
- DORA (finanzas): inicial en 4 h desde la clasificación como “mayor” y no más tarde de 24 h desde la detección; intermedio en 72 h; final en 30 días.
- Prepara plantillas, criterios de criticidad, y un war‑room con responsables legales, CISO, PR y negocio.
¿Quieres un roadmap integrado AI Act + NIS2 + DORA? 4DLegal hace el gap analysis, define políticas y contratos TIC, entrena a tu equipo y prepara simulacros de notificación para auditores y clientes.