Directiva NIS2 + Reglamento de IA: La combinación que redefinirá el gobierno, la seguridad y la gest

Directiva NIS2 + Reglamento de IA

La combinación que redefinirá el gobierno, la seguridad y la gestión del riesgo en la empresa privada española

Según la encuesta “Global Risk Landscape 2025 de BDO” las mayores preocupaciones de las empresas en Europa y en España son el cumplimiento regulatorio, los ciberataques y los cambios tecnológicos, como la incorporación de sistemas de Inteligencia Artificial (IA) en el ecosistema tecnológico de las compañías. En este sentido, al incremento en los últimos años de las regulaciones con un alto componente tecnológico como el Reglamento General de Protección de Datos (en adelante RGPD, con un amplísimo espectro de compañías que deben cumplirlo) o el Digital Operational Resilience Act (en adelante DORA, de aplicación a los sectores financiero y asegurador) se suman dos regulaciones relevantes adicionales como son la Directiva Europea de Ciberseguridad NIS2 (en adelante la NIS2), actualmente en proceso de transposición en España que entendemos que durante este año 2026 será aprobado para su entrada en vigor, y el Reglamento Europeo de Inteligencia Artificial (en adelante el RIA).

La combinación con el paso del tiempo de estas dos nuevas regulaciones (el RIA y la NIS2) redefinirá el modelo de gobierno, la seguridad y la gestión del riesgo en la empresa privada española con objeto de poder lograr su cumplimiento y mejorar la posición de ciberseguridad de las empresas españolas.
A continuación, pasamos a contar algunos detalles relevantes de estas dos regulaciones, que se basan en un modelo de control de gestión de riesgos y supervisión continua, con fuertes sanciones ante su incumplimiento:

1. NIS2: un anteproyecto con el objetivo de mejorar la ciberseguridad y resiliencia

La futura Ley establece el Centro Nacional de Ciberseguridad (CNCS), encargado de dirigir la gestión de crisis cibernéticas, coordinar sectores e impulsar la cooperación nacional e internacional. NIS2 se aplicará a empresas con sede o actividad en España que operen en sectores altamente críticos como energía, transporte, finanzas, salud, agua, infraestructuras digitales, tecnología, industria química, alimentación o servicios digitales. Una vez que se apruebe el anteproyecto de Ley, que suponemos que se producirá durante el año en curso, las obligaciones clave para empresas privadas que se consideren esenciales e importantes dentro de los sectores críticos mencionados anteriormente serán las siguientes:

Gestión de riesgos avanzada y continua.
Seguridad en la cadena de suministro, con evaluación de riesgos, etc.
Obligación de notificar incidentes en 24 horas, y de notificar una evaluación inicial 72 horas después del incidente.
Supervisión intensiva y auditorías.
Nombramiento de un Responsable de Seguridad de la Información, con responsabilidades reforzadas con respecto a las habituales que se le asignan a esta figura, “y como aspecto relevante” que debe ser independiente de las áreas de Sistemas y Redes.

Aunque estos requerimientos no son una novedad para las empresas grandes, su obligado cumplimiento para un amplísimo espectro de empresas requerirá un reajuste de los modelos de gobierno, seguridad y gestión de riesgos para las empresas españolas de gran tamaño, y un ajuste e inversión en tiempo y costes importante para empresas medianas y pequeñas, en las que, por ejemplo, la responsabilidad de Seguridad de la Información suele recaer en el Responsable de Sistemas, mientras que con la NIS2 deberán separarse.

2. RIA: supervisión continua sobre sistemas IA para proporcionar una garantía de seguridad y uso ético
El puesto de supervisor nacional de la IA corresponde a la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), órgano supervisor estatal encargado de garantizar el uso ético, seguro y conforme a el RIA para entidades públicas y privadas. Los hitos regulatorios clave en este caso son:

Clasificación por riesgo de los sistemas IA: el 1 de agosto de 2024 entró en vigor, el 2 de febrero de 2025 se marca para aplicar las prohibiciones de riesgo inaceptable, y el 2 de agosto de 2026 para las obligaciones de alto riesgo.
Evaluaciones de conformidad: para los requisitos de alto riesgo comienza el 2 de agosto de 2026, y para las obligaciones avanzadas y finales comienzan el 2 de agosto de 2027.
Registro europeo de modelos: obligatorio para alto riesgo el 2 de agosto de 2026.
Requisitos de ciberseguridad del modelo: entrada en vigor progresiva de requisitos técnicos entre el 2 de agosto de 2026 y el 2 de agosto de 2027.
Si bien no es un requerimiento, obviamente la figura del “Responsable de Gestión de Riesgos de IA”, “IA Officer”, o como se le quiera llamar, se hace más que necesaria para que alguien en la empresa se focalice en los requerimientos de supervisar el cumplimiento, coordinar auditorías, gestionar la documentación técnica, actuar como punto de contacto con las autoridades, y formar parte de la gestión de incidentes en los sistemas IA.

Por tanto, en esta nueva etapa confluyen dos marcos regulatorios transformadores: la NIS2, recordando que actualmente está en proceso de transposición en España, y el RIA. Ambos marcos tienen un impacto directo sobre la gobernanza tecnológica, las prácticas de seguridad y las responsabilidades de los órganos de dirección con “gran calado”.

Adicionalmente, el RIA y la NIS2 incluyen sanciones económicas severas por incumplimiento, muy alineadas con el ya conocido RGPD. Hasta ahora, las infracciones imputables a la empresa implicaban la responsabilidad directa del órgano de administración por falta de diligencia debida, pero una vez entrada en vigor la NIS2, la gran novedad será que la NIS2 contempla la prohibición temporal del ejercicio de sus funciones a cualquier persona que ejerza responsabilidades de dirección a nivel de director general o representante legal para las entidades consideradas como críticas. Esto, añadido al enfoque de estas regulaciones tecnológicas de supervisión y gestión de riesgos continua, junto a la preocupación de las empresas por el cumplimiento regulatorio y la ciberseguridad, traerá consigo la redefinición del modelo de gobierno, la seguridad y la gestión del riesgo en la empresa privada española.

Como conclusión, esta nueva etapa de inevitable convergencia entre la NIS2 y el RIA obligará a las empresas pronto se verán obligadas a redefinir su modelo de gestión de riesgos y los modelos de gobierno para lograr su cumplimiento de estas regulaciones y sus objetivos.