Hay una idea que escucho con frecuencia en mis conversaciones con partners y empresas en España: «Eso de NIS2 todavía no aplica aquí, la ley aún no está aprobada.» Lo entiendo, pero es una de las suposiciones más arriesgadas que una organización puede hacer ahora mismo.
El cumplimiento normativo no funciona como un interruptor que se enciende el día que se publica una ley nacional. Funciona por capas, y muchas de esas capas ya están activas. Quien espera a la norma española para empezar a prepararse no está ganando tiempo. Está acumulando riesgo.
En Europa convivimos con varios marcos a la vez. El RGPD es el suelo común: cubre a cualquier organización que trate datos personales de residentes en la UE, sea cual sea su sede. Pero cumplir el RGPD es el punto de partida, no la meta.
Encima de esa base se han sumado normas más exigentes. NIS2 entró en vigor a nivel europeo en enero de 2023, con plazo de transposición hasta octubre de 2024. España no llegó a ese plazo. El Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad se aprobó en enero de 2025, pero seguía pendiente de aprobación parlamentaria en 2026.
Aquí está el matiz que muchos pasan por alto. Que la ley española no esté aprobada no protege frente a las consecuencias. La directiva es vinculante a nivel europeo desde 2023, y si trabajáis con empresas alemanas, francesas o italianas en sectores regulados, es probable que ya estén incluyendo cláusulas NIS2 en sus contratos de proveedores. La cadena de suministro es una de sus grandes novedades, y casi todos estamos dentro de ella.
Para el sector financiero hay una capa que ya no admite interpretaciones. DORA es de plena aplicación desde enero de 2025, y en 2026 los supervisores están intensificando las auditorías. La fase de adaptación ha terminado: ahora toca demostrar el cumplimiento con evidencias.
Si tuviera que señalar el cambio más relevante de esta nueva generación de normativa, no sería técnico. Sería de gobernanza. NIS2 no solo sanciona a la empresa, apunta a sus líderes: los órganos de dirección deben aprobar y supervisar las medidas, y la negligencia puede acarrear sanciones individuales. El cumplimiento deja de vivir en IT y pasa a ser un asunto de consejo.
Las cifras ordenan prioridades. Las entidades esenciales bajo NIS2 se exponen a sanciones de hasta 10 millones de euros o el 2% de la facturación. En las infracciones más graves de DORA, las multas pueden alcanzar el 10% del volumen de negocio anual. Pero la multa rara vez es el coste más alto. Detrás vienen los planes correctivos, los honorarios legales y la pérdida de confianza de clientes y partners.
Entender la normativa es una cosa. Saber qué se espera de tus datos es donde muchos se pierden. Ninguna de estas normas se conforma con un «protege tus datos». Lo que exigen es concreto: retener la información durante un periodo, conservarla de forma inalterable, y poder presentarla cuando un regulador, un auditor o un tribunal la solicite.
Pensad en lo que implica una auditoría. Alguien tiene que encontrar un correo concreto de hace tres años, o reconstruir toda la comunicación entre dos personas durante meses. Sin un sistema preparado para eso, esa búsqueda se convierte en semanas de trabajo y en una fuente de riesgo en sí misma.
Aquí es donde el archivado de correo deja de ser un tema técnico de fondo. Una solución de archiving captura el correo en tiempo real, lo almacena de forma inalterable y lo mantiene accesible durante años. Es lo que convierte el cumplimiento de un objetivo abstracto en algo que se puede demostrar. En el trabajo diario con partners lo veo constantemente: quienes tienen esa base afrontan los cambios normativos con tranquilidad. En MailStore trabajamos precisamente esa pieza, ayudando a empresas a cumplir con RGPD, ENS y requisitos de retención sin que se convierta en un proyecto interminable.
La normativa seguirá cambiando. Eso no está en nuestras manos. Lo que sí lo está es decidir si nos preparamos antes o reaccionamos después. Esperar a que la ley española se publique para actuar es, en la práctica, elegir la opción más cara. La mejor posición no es la de quien cumple a última hora, sino la de quien ya tenía los cimientos puestos cuando llegó la pregunta.
¿La conversación sobre cumplimiento ya ha llegado a vuestro comité de dirección, o sigue viviendo solo en IT?
MailStore by OpenText
Channel & Alliances Manager
