¿Qué normativa de ciberseguridad y cumplimiento debe cumplir tu empresa?
Responde unas pocas preguntas sobre tu organización y sus jurisdicciones —UE, España, Reino Unido, EEUU y Latinoamérica— y obtén al instante tu mapa de cumplimiento normativo y GRC: qué normativas de ciberseguridad te aplican, con nivel de exposición, plazos, sanciones estimadas y obligaciones clave.
Aviso legal: orientación automatizada y general con fines informativos. No es asesoramiento jurídico ni una determinación oficial de aplicabilidad. La obligatoriedad y los importes reales dependen de umbrales, actividad, jurisdicciones y cadena de suministro, y deben confirmarse con un análisis profesional. Las cifras indexadas o basadas en unidades (UMA/UTM/UIT) se actualizan periódicamente; consulta la fuente oficial. Hard2bit no asume responsabilidad por decisiones tomadas únicamente a partir de este resultado.
Cómo saber qué normativas de ciberseguridad te aplican
En 2026, la mayoría de las empresas europeas están sujetas a varias normativas de ciberseguridad y cumplimiento a la vez, y la aplicabilidad depende de tres factores: el sector en el que operas, el tamaño de la organización y las actividades concretas que realizas (tratamiento de datos, pagos con tarjeta, venta online, fabricación de producto digital, uso de IA o exportación). Esta herramienta combina esos tres factores para indicarte, de forma orientativa, qué marcos debes revisar con prioridad.
Normativas que cubre el diagnóstico
El diagnóstico es multi-jurisdicción y evalúa las principales normas según dónde tengas sede, clientes o mercado. En la Unión Europea y España: NIS2, DORA, el Esquema Nacional de Seguridad (ENS), RGPD y LOPDGDD, cookies/ePrivacy, PCI DSS, European Accessibility Act, Cyber Resilience Act, Reglamento de IA y control de exportación de doble uso. En Reino Unido: UK GDPR (con la reforma DUAA 2025) y PECR. En Estados Unidos: HIPAA, GLBA y FTC Safeguards, CCPA/CPRA y leyes estatales de privacidad, leyes estatales de notificación de brechas, las reglas de divulgación de la SEC, NYDFS, CMMC y SOC 2. En Latinoamérica: LGPD (Brasil), la nueva LFPDPPP (México), las leyes 21.719 y 21.663 (Chile), la Ley 1581 (Colombia) y la Ley 25.326 (Argentina). Y marcos globales voluntarios pero habilitantes: ISO/IEC 27001, ISO/IEC 42001 (gestión de IA) y SOC 2. Cada ficha enlaza a su fuente oficial.
Del diagnóstico al cumplimiento: ciberseguridad y GRC
El resultado es un punto de partida. El cumplimiento normativo en ciberseguridad no es un proyecto puntual, sino un programa continuo de gobierno, riesgo y cumplimiento (GRC): para cada normativa aplicable, Hard2bit realiza un análisis de aplicabilidad formal, un gap assessment técnico y organizativo, y una hoja de ruta priorizada por riesgo hasta la conformidad. Un buen programa de GRC reutiliza los controles y evidencias comunes entre NIS2, ENS, DORA, RGPD e ISO 27001, de modo que cumplir una norma adelanta el trabajo de las demás. Como empresa de ciberseguridad y consultoría de cumplimiento normativo certificada en ENS e ISO 27001, con SOC propio 24/7, acompañamos tanto la parte técnica como la de gobierno, riesgo y evidencias.
Pon a Hard2bit a cumplir por ti
Como empresa de ciberseguridad certificada ENS Alto e ISO 27001, con SOC propio 24/7, convertimos este diagnóstico en un plan de adecuación priorizado por riesgo, por cada normativa y jurisdicción.
Preguntas frecuentes
¿Qué normativas de ciberseguridad debe cumplir una empresa en España?
Depende del sector, el tamaño y la actividad. Las más habituales son NIS2 (sectores críticos), ENS (sector público y sus proveedores), DORA (entidades financieras), el RGPD y la LOPDGDD (cualquier tratamiento de datos personales), PCI DSS (pagos con tarjeta), el European Accessibility Act (e-commerce y servicios al consumidor), el Cyber Resilience Act (fabricantes de producto digital), el Reglamento de IA y, como marco voluntario de referencia, la ISO 27001. Esta herramienta indica cuáles te aplican probablemente según tus respuestas.
¿Cómo sé si mi empresa está sujeta a NIS2?
NIS2 aplica a entidades esenciales e importantes de sectores como energía, transporte, banca, sanidad, infraestructura digital o administración pública, generalmente a partir de 50 empleados o 10 millones de euros de facturación. También puede alcanzarte indirectamente si eres proveedor crítico de una entidad afectada (cadena de suministro). En España, la transposición se completa con el anteproyecto de Ley de Coordinación y Gobernanza de Ciberseguridad, en tramitación en 2026.
¿Es fiable este diagnóstico? ¿Sustituye a un análisis legal?
No. El resultado es una orientación automatizada y general con fines informativos, no asesoramiento jurídico ni una determinación oficial de aplicabilidad. La obligatoriedad real de cada norma depende de umbrales concretos, actividad, alcance y posición en la cadena de suministro. Recomendamos confirmarlo con un análisis profesional, que Hard2bit puede realizar.
¿Qué diferencia hay entre NIS2, ENS, DORA e ISO 27001?
Son marcos complementarios. La ISO 27001 es una norma voluntaria que aporta la base de gestión y evidencias. El ENS es obligatorio para el sector público español y sus proveedores. NIS2 es una directiva europea de ciberseguridad para sectores críticos. DORA es el reglamento específico de resiliencia operativa digital del sector financiero. Una misma empresa puede estar sujeta a varios a la vez, y una buena base ISO 27001 simplifica el cumplimiento del resto.
¿Qué es GRC (gobierno, riesgo y cumplimiento) y cómo se relaciona con estas normativas?
GRC son las siglas de gobierno, riesgo y cumplimiento. Es el enfoque que integra en un único programa la gestión del riesgo de ciberseguridad, el cumplimiento de normativas como NIS2, ENS, DORA, RGPD o ISO 27001, y el gobierno corporativo. En lugar de abordar cada norma por separado, un programa GRC reutiliza controles y evidencias comunes, reduciendo coste y esfuerzo. Hard2bit diseña y opera programas de GRC y cumplimiento normativo para empresas.
¿Tengo que cumplir el European Accessibility Act si vendo online?
Si ofreces productos o servicios digitales al consumidor en la UE (por ejemplo, una tienda online, banca o transporte), el European Accessibility Act es exigible desde el 28 de junio de 2025. Obliga a que tu web o app cumpla la accesibilidad WCAG 2.1 nivel AA y a publicar una declaración de accesibilidad.
¿La herramienta guarda mis datos o escanea mi web?
No. El diagnóstico se resuelve por completo en tu navegador a partir de tus respuestas; no escanea tu dominio ni almacena información. Si quieres además comprobar tu exposición técnica (cabeceras, TLS, correo), puedes usar de forma separada y gratuita Hard2bit Scanner.