NIS2 RGPD AI Act empresas España

NIS2, RGPD y AI Act: la triple regulación que puede multar a tu empresa tres veces por los mismos hechos | SCANDO UP Madrid
Evalúa tu exposición a NIS2, RGPD y AI Act · Gratis
NIS2 · RGPD · AI Act · Triple regulación · España 2026

NIS2, RGPD y AI Act:
la triple regulación que puede multar
a tu empresa tres veces
por los mismos hechos

Un ciberataque que compromete datos personales y en el que hay un sistema de IA implicado puede activar simultáneamente tres regímenes sancionadores independientes. Exposición máxima: hasta 45 millones de euros. Y la responsabilidad puede ser personal para el CEO. Esta guía explica exactamente cómo funciona y qué hacer para gestionarlo.

Álvaro Ruipérez Candón · SCANDO UP Global Legal Mayo 2026 · 11 min
📍 Despacho en Madrid · C/Núñez de Balboa, 27 · Atención en toda España
45M€ exposición máxima acumulada si se activan NIS2 + RGPD + AI Act por los mismos hechos
24h plazo NIS2 para alerta temprana de incidente, antes de que RGPD exija 72h
Inhabilitación sanción personal posible para directivos por negligencia en cumplimiento NIS2

El problema que la mayoría de empresas tech no ha visto todavía

Hay una percepción muy extendida en el tejido empresarial tecnológico español: si tienes el RGPD en orden, lo tienes todo en orden. Es un error con consecuencias potencialmente devastadoras en 2026.

El RGPD regula qué puedes hacer con los datos personales. La NIS2 regula cómo proteges tus sistemas de información. El AI Act regula cómo diseñas y despliegas la inteligencia artificial. Son tres marcos distintos, con tres autoridades supervisoras distintas y tres regímenes sancionadores independientes. Y en determinados escenarios, los tres se activan a la vez sobre los mismos hechos.

Una empresa que tenga el RGPD en orden pero no haya implantado las medidas de NIS2 incumple. Una empresa que cumpla NIS2 y RGPD pero use IA de alto riesgo sin documentación de AI Act también incumple. Y si ocurre un incidente que toca las tres normativas al mismo tiempo, la empresa se enfrenta a tres procedimientos sancionadores paralelos, con tres autoridades distintas, con plazos que se solapan y con multas que se suman.

El escenario que nadie quiere protagonizar

Un proveedor SaaS de Madrid sufre un ransomware. El atacante accede a la plataforma, cifra los datos y extrae información de 50.000 clientes. El sistema de scoring automático de riesgo (IA) del proveedor genera durante el ataque outputs erróneos que afectan a decisiones sobre terceros. Resultado: AEPD abre expediente por brecha de datos personales (RGPD); la autoridad NIS2 competente abre procedimiento por notificación tardía y medidas insuficientes; la AESIA inicia investigación por el comportamiento del sistema de IA durante el incidente. Tres expedientes. Tres multas potenciales. Un mismo incidente.

Las tres normativas: qué regula cada una y cuánto puede multar

Antes de entender cómo se acumulan, hay que entender qué regula cada una con precisión. La confusión entre las tres es el primer error que cometen las empresas tech cuando intentan gestionar su cumplimiento.

RGPD Desde 2018

Reglamento General de Protección de Datos

Hasta 20M€ o 4%
  • Regula el tratamiento de datos personales
  • Bases legales, derechos de interesados
  • Notificación de brechas en 72h (AEPD)
  • DPA con encargados del tratamiento
  • EIPD para tratamientos de alto riesgo
  • Autoridad: AEPD
NIS2 Vigente desde ene. 2023

Directiva de Seguridad de Redes e Información 2

Hasta 10M€ o 2%
  • Regula la ciberseguridad de sistemas y redes
  • Gestión de riesgos y continuidad de negocio
  • Notificación de incidentes en 24h / 72h / 1 mes
  • Seguridad de la cadena de suministro
  • Responsabilidad personal de directivos
  • Autoridad: CCN-CERT / INCIBE-CERT
AI Alto riesgo desde ago. 2026

AI Act · Reglamento (UE) 2024/1689

Hasta 35M€ o 7%
  • Regula el desarrollo y despliegue de IA
  • Clasificación por nivel de riesgo
  • Documentación técnica y registro EUAI DB
  • Supervisión humana para IA de alto riesgo
  • EIPD específica de IA cuando procede
  • Autoridad: AESIA

Las sanciones de NIS2, RGPD y AI Act son independientes y acumulables. Una empresa puede recibir multas de las tres autoridades por los mismos hechos. La exposición máxima teórica combinada supera los 45 millones de euros en el peor caso.

Qué empresas están obligadas por la NIS2 en España

La NIS2 obliga a empresas con 50 o más empleados o más de 10 millones de euros de facturación que operan en uno de los 18 sectores incluidos. Hay dos categorías con obligaciones prácticamente idénticas pero regímenes sancionadores distintos.

Pero el tamaño no lo es todo. Una startup tecnológica de 20 personas que gestiona infraestructura DNS crítica puede estar dentro. Una pyme que actúa como proveedor TIC de una entidad esencial también puede estarlo. Y los clientes enterprise, desde 2025, están incluyendo en sus contratos cláusulas que exigen que sus proveedores SaaS cumplan con NIS2.

EnergíaElectricidad, gas, petróleo, hidrógeno
🏥
SaludHospitales, farmacéuticas, I+D, healthtech
🏦
Banca e infraestructuras financierasFintech, mercados, cámaras de compensación
☁️
Infraestructura digitalCloud, CDN, DNS, IXP, centros de datos
💻
Servicios gestionados TICMSPs, proveedores de seguridad gestionada
🛒
Servicios digitalesMarketplaces, motores de búsqueda, redes sociales
🏭
Fabricación críticaEquipos médicos, vehículos, aeronáutica, defensa
📦
Transporte y logísticaAviación, ferrocarril, marítimo, carretera
La trampa del proveedor de entidades esenciales

Si tu SaaS, plataforma o infraestructura cloud da servicio a alguna de las entidades anteriores, puede que estés obligado por NIS2 aunque tu empresa no entre directamente en ningún sector. Los clientes enterprise ya están trasladando estas obligaciones contractualmente a sus proveedores tech. Si recibes una cláusula NIS2 en un contrato, es porque eres parte de la cadena de suministro de una entidad obligada.

¿No sabes con certeza si tu empresa está obligada por NIS2? En SCANDO UP hacemos el análisis de aplicabilidad en 30 minutos. Despacho en Madrid, atención en toda España.
Reservar evaluación gratuita

La responsabilidad personal de los directivos: lo que más preocupa a los CEOs

La NIS2 introduce un cambio radical respecto a cualquier normativa anterior. No solo la empresa puede ser sancionada; los directivos pueden serlo personalmente. Y esa responsabilidad personal no puede delegarse completamente en el departamento de IT ni en el CISO.

Responsabilidad personal bajo NIS2 · Lo que ningún CEO puede ignorar

El artículo 20 de la Directiva NIS2 establece que los órganos de dirección de las entidades obligadas deben aprobar las medidas de gestión de riesgos de ciberseguridad, supervisar su implementación y son responsables de los incumplimientos. En España, esto incluye la posibilidad de inhabilitación temporal para el ejercicio de funciones directivas.

Obligación de formación

Los CEO, CTO y miembros del consejo deben recibir formación específica en gestión de riesgos cibernéticos. No es opcional ni delegable.

Aprobación de medidas

Las medidas de ciberseguridad deben aprobarse formalmente por el órgano de dirección, con acta y evidencia documental.

Supervisión activa

No basta con aprobar; hay que supervisar la implementación. La ausencia de supervisión documentada es circunstancia agravante.

Inhabilitación como sanción

En caso de negligencia demostrable, la autoridad puede inhabilitar temporalmente a la persona física responsable del incumplimiento.

El escenario más peligroso: cuando los tres plazos se solapan

El mayor riesgo operativo de la triple regulación no es la cuantía de las multas. Es la gestión simultánea de tres obligaciones de notificación con plazos distintos que se activan al mismo tiempo.

Escenario real: brecha de seguridad con IA implicada

Hora 0. Tu equipo detecta un incidente de seguridad que ha comprometido datos de clientes. El sistema de scoring automatizado de tu plataforma ha generado outputs incorrectos durante el ataque.

Antes de 24 horas (NIS2). Obligación de enviar alerta temprana al CCN-CERT o INCIBE-CERT indicando que se ha producido un incidente significativo. Si no se envía, es infracción autónoma aunque el incidente se gestione correctamente después.

Antes de 72 horas (RGPD y NIS2). Dos notificaciones paralelas e independientes: a la AEPD si hay riesgo para los derechos de los interesados (RGPD art. 33) y al CCN-CERT con evaluación inicial más completa (NIS2). Son procedimientos distintos con formatos distintos para autoridades distintas.

A partir de agosto 2026 (AI Act). Si el sistema de IA implicado es de alto riesgo o su comportamiento durante el incidente afectó a personas, la AESIA puede iniciar actuación de oficio. La documentación técnica y el régimen de supervisión humana son lo primero que va a pedir.

Las obligaciones NIS2 que debes implementar ahora

El Real Decreto-ley 7/2025 ya impone obligaciones parciales en España. Las inspecciones han comenzado. La Comisión Europea tiene procedimiento de infracción abierto contra España por el retraso en la transposición. Que la ley definitiva todavía no esté aprobada no exime del cumplimiento de la directiva europea.

  • 1
    Análisis de riesgos documentado. Identificación, evaluación y gestión de los riesgos que afectan a los sistemas de información de la empresa. No es un documento genérico; es un análisis específico de los riesgos reales del negocio con medidas de mitigación concretas y revisión periódica.
  • 2
    Política de ciberseguridad aprobada por la dirección. Documento formal aprobado en el órgano de gobierno, con acta, que recoge los principios, responsabilidades y medidas de seguridad de la organización.
  • 3
    Gestión de incidentes con protocolo de notificación. Procedimiento interno documentado para detectar, clasificar y notificar incidentes significativos. El protocolo debe estar entrenado: el equipo tiene que saber qué hacer cuando ocurre, no cuando les explican qué deberían haber hecho.
  • 4
    Continuidad de negocio y recuperación ante desastres. Plan de continuidad documentado con RTO (Recovery Time Objective) y RPO (Recovery Point Objective) definidos y probados periódicamente. No basta con tenerlo escrito; hay que poder demostrar que se ha ensayado.
  • 5
    Seguridad de la cadena de suministro. Evaluación de los proveedores tecnológicos críticos, cláusulas contractuales de seguridad en los contratos con proveedores TIC y revisión periódica. Esta obligación activa revisiones en cascada: los clientes te van a pedir lo mismo que tú tienes que pedir a tus proveedores.
  • 6
    Medidas técnicas básicas de seguridad. MFA en todos los accesos críticos, cifrado en tránsito y en reposo, gestión de vulnerabilidades con escaneos regulares, segmentación de redes y control de accesos basado en privilegios mínimos.
  • 7
    Formación de directivos y empleados. Programa de formación en ciberseguridad documentado, con registros de asistencia. Para directivos, formación específica en gestión de riesgos cibernéticos. Para empleados, formación en phishing, gestión de contraseñas y reporte de incidentes.
  • 8
    Designación de responsable de seguridad. No tiene que ser un CISO a tiempo completo; para la mayoría de empresas tech de tamaño medio, un consultor externo que ejerza ese rol es perfectamente válido. Lo importante es que haya una persona identificada con responsabilidades claras y acceso directo a la dirección.
¿Tu empresa tiene estas 8 obligaciones NIS2 documentadas e implementadas? El AIM Integrity Check de SCANDO UP analiza tu situación frente a NIS2, RGPD y AI Act en un solo diagnóstico.
Solicitar diagnóstico

Cómo gestionar las tres normativas sin duplicar esfuerzo

La buena noticia es que NIS2, RGPD y AI Act comparten base documental. Muchos de los documentos que ya tienes para el RGPD son punto de partida para NIS2. Y la gobernanza de IA del AI Act se construye sobre la gestión de riesgos que exige NIS2. La gestión coordinada de las tres normativas es la más eficiente y evita duplicidades.

Elemento de cumplimiento RGPD NIS2 AI Act
Análisis de riesgos EIPD para tratamientos de alto riesgo Análisis de riesgos de ciberseguridad obligatorio Evaluación de riesgos del sistema de IA
Documentación técnica RAT, DPAs, políticas de privacidad Política de ciberseguridad, inventario de activos Ficha técnica del sistema de IA (Anexo IV)
Notificación de incidentes AEPD en 72h si hay brecha de datos CCN-CERT en 24h alerta / 72h notificación AESIA si el incidente implica sistema de IA
Formación obligatoria Empleados con acceso a datos personales Directivos y toda la organización Personal que opera sistemas de IA de alto riesgo
Auditorías No obligatorias, recomendadas para accountability Obligatorias cada 2 años para entidades esenciales Evaluación de conformidad para sistemas de alto riesgo
Responsabilidad directiva No explícita (responsabilidad de la empresa) Personal y explícita: inhabilitación posible No personal, pero la empresa responde por el sistema

← Desliza para ver la tabla completa

El enfoque más eficiente es construir un único marco de gobernanza que cubra las tres normativas. La base es la gestión de riesgos de NIS2, sobre la que se construye la capa de datos del RGPD y la capa de IA del AI Act. Una sola estructura documental, tres marcos de cumplimiento cubiertos.

Lo que cambia cuando tienes los tres marcos integrados

Una empresa con NIS2, RGPD y AI Act gestionados de forma coordinada puede responder en horas a un incidente activando simultáneamente los tres protocolos de notificación. Puede pasar un cuestionario de seguridad de cliente enterprise sin lagunas. Puede entrar en una due diligence de ronda sin que la capa regulatoria sea un bloqueante. Y cuando llegue una inspección, tiene la documentación organizada para demostrar cumplimiento desde el primer requerimiento.

Por qué un abogado especialista en Madrid marca la diferencia

Gestionar la intersección entre NIS2, RGPD y AI Act requiere un profesional que entienda las tres normativas, cómo se relacionan y cómo se complementan. No es trabajo para tres especialistas distintos que trabajan en silos. Es trabajo para alguien que puede ver el cuadro completo y construir un solo marco que cubra los tres.

📍

SCANDO UP Global Legal · Madrid

Despacho boutique especialista en NIS2, RGPD y AI Act para empresas tech, SaaS y fintech. C/Núñez de Balboa, 27, Madrid (28001). Diagnóstico integrado de triple cumplimiento. Atención presencial y remota en toda España.

En SCANDO UP diseñamos marcos de cumplimiento que cubren NIS2, RGPD y AI Act de forma coordinada, sin duplicar documentación ni esfuerzo. El resultado es un sistema de gobernanza que protege a la empresa frente a las tres autoridades supervisoras, que aguanta una due diligence de inversores y que le da al CEO la tranquilidad de saber que su responsabilidad personal está cubierta.

¿Tu empresa está expuesta a NIS2, RGPD y AI Act sin saberlo?

Evaluación gratuita de 30 minutos. Auditamos tu exposición frente a las tres normativas y te decimos qué tienes, qué te falta y por dónde empezar. Despacho en Madrid, atención en toda España.

Reservar evaluación gratuita 📞 +34 603 597 478

Álvaro Ruipérez Candón · Abogado especialista en NIS2, RGPD y AI Act
SCANDO UP Global Legal · C/Núñez de Balboa, 27 · Madrid

Preguntas frecuentes sobre NIS2, RGPD y AI Act en España

La NIS2 obliga a empresas con 50 o más empleados o más de 10 millones de euros de facturación que operan en uno de los 18 sectores incluidos en los Anexos I y II de la Directiva. Los sectores incluyen energía, transporte, banca, salud, infraestructura digital (cloud, CDN, DNS, centros de datos), servicios gestionados TIC, administración pública y servicios digitales. Algunas pymes pueden estar obligadas si prestan servicios críticos o únicos, o si actúan como proveedores de entidades esenciales.
Sí. Los tres regímenes sancionadores son independientes y acumulables. Un mismo incidente puede activar simultáneamente la AEPD por vulneración del RGPD si hay datos personales implicados, la autoridad NIS2 competente por incumplimiento de ciberseguridad o notificación tardía, y la AESIA si hay un sistema de IA de alto riesgo involucrado. La exposición máxima teórica combinada supera los 45 millones de euros.
La NIS2 introduce responsabilidad personal explícita para los órganos de dirección. Los CEO, CTO y miembros del consejo de administración tienen obligación de aprobar y supervisar las medidas de ciberseguridad, recibir formación específica en gestión de riesgos cibernéticos y responder personalmente en caso de negligencia demostrable. Las sanciones pueden incluir la inhabilitación temporal para ejercer funciones directivas.
NIS2 establece tres hitos: alerta temprana en menos de 24 horas desde que la empresa tiene conocimiento del incidente; notificación formal con evaluación inicial en menos de 72 horas; e informe final con análisis completo en un mes. Si el incidente implica una brecha de datos personales, se activa en paralelo la obligación de notificación a la AEPD en 72 horas bajo el RGPD. Son procedimientos independientes con formatos distintos para autoridades distintas.
El RGPD regula el tratamiento de datos personales: bases legales, derechos de los interesados, transferencias y seguridad del tratamiento. NIS2 regula la ciberseguridad de los sistemas de información y redes: gestión de riesgos técnicos, continuidad de negocio, seguridad de la cadena de suministro y notificación de incidentes. Son marcos complementarios, no sustitutivos. Una empresa puede incumplir uno sin incumplir el otro, pero cuando un ciberataque compromete datos personales, ambos se activan simultáneamente.
Sí. La Directiva NIS2 es vinculante a nivel europeo desde enero de 2023. España transpuso parcialmente mediante el Real Decreto-ley 7/2025. La Comisión Europea emitió un dictamen motivado de infracción contra España por el retraso. La ausencia de ley nacional no exime del cumplimiento; la directiva europea es directamente invocable y las inspecciones ya han comenzado en España.
DORA (Digital Operational Resilience Act) es el Reglamento (UE) 2022/2554, directamente aplicable desde enero de 2025, que regula la resiliencia operativa digital del sector financiero. Afecta a entidades de crédito, empresas de inversión, entidades de pago, empresas de seguros, gestoras de fondos, proveedores de servicios de criptoactivos y proveedores críticos TIC del sector financiero. Para estas entidades, DORA es lex specialis y prevalece sobre NIS2 en lo que regula específicamente.
Á
Álvaro Ruipérez Candón Abogado especialista en NIS2, RGPD y AI Act · Fundador de SCANDO UP Global Legal · Docente en ISDE Law & Business School · Madrid

Experto en Derecho Digital y negocios tecnológicos. Datos e IA. Abogado estratégico para empresas Tech, IA y SaaS que diseña la infraestructura legal que permite vender, desplegar IA y escalar sin fricción ni sanciones (AIM Integrity™).

APTIE Confilegal Europapress ISDE Law & Business School