ESENRODEFRIT
Contacto

2026-06-29 · Ibida Black Level S.L.

GDPR y NIS2 juntos: cómo evitar duplicar el esfuerzo de cumplimiento

Dónde se solapan GDPR y NIS2, dónde divergen y cómo construir un único programa que satisfaga ambas sin duplicar el trabajo.

GDPR y NIS2 juntos: cómo evitar duplicar el esfuerzo de cumplimiento

Una empresa mediana europea con un DPO competente y un programa serio de GDPR ya cubre entre el 35% y el 55% de lo que NIS2 va a pedir. Una empresa mediana europea que monte su programa NIS2 desde cero ignorando el trabajo GDPR existente hará el mismo trabajo dos veces, lo pagará dos veces y acabará con dos pilas de políticas que se contradicen en tres puntos.

Este es el artículo que quisiéramos que más equipos de cumplimiento hubieran leído en la segunda mitad de 2024, cuando llegó la primera ola de transposición NIS2. No es tarde para la segunda ola que viene ahora. El propósito no es hacer que NIS2 parezca más pequeña de lo que es. Es grande. El propósito es asegurar que su equipo no monta un programa paralelo cuando el existente ya hace la mitad del trabajo.

El solape honesto

Ambas regulaciones exigen, como mínimo:

El vocabulario difiere. GDPR habla de "datos personales" y "interesados". NIS2 habla de "redes y sistemas de información" y "destinatarios de servicios". Pero los controles subyacentes (gestión de accesos, cifrado, trazas, copias, respuesta a incidentes, evaluación de terceros, formación) son en gran medida los mismos. Si su política de gestión de accesos está bien escrita para GDPR, no necesita una política paralela para NIS2. Necesita un anexo que explique cómo la misma política cubre el alcance adicional NIS2.

La divergencia honesta

Las dos regulaciones difieren en tres aspectos importantes que ningún programa unificado puede ocultar.

Modelos de daño distintos

GDPR protege a personas físicas y a los datos personales sobre ellas. El daño que GDPR vigila es daño a individuos: robo de identidad, discriminación, pérdida financiera, daño reputacional. NIS2 protege la continuidad e integridad de servicios de los que depende la sociedad. El daño que NIS2 vigila es disrupción operativa con efecto en cadena sobre servicios esenciales o importantes.

Esto significa que un mismo incidente puede tener distinta relevancia bajo cada régimen. Una brecha de confidencialidad sin impacto en servicio puede ser un evento mayor GDPR y menor NIS2. Una caída de servicio de 48 horas sin pérdida de datos personales puede ser un evento mayor NIS2 y no-evento GDPR.

Regímenes de notificación distintos

GDPR exige notificar una violación de datos personales a la autoridad de control en 72 horas desde el conocimiento cuando la violación sea probable que conlleve un riesgo para los derechos y libertades de personas físicas. Los propios interesados deben ser notificados cuando el riesgo sea alto.

NIS2 exige alerta temprana al CSIRT competente en 24 horas desde el conocimiento de un incidente significativo, notificación completa en 72 horas e informe final en un mes. Los destinatarios de los servicios deben ser informados cuando un incidente significativo pueda afectar materialmente su uso.

Los dos relojes pueden correr a la vez, con destinatarios distintos y contenido distinto. Las empresas que fusionan los dos procesos a la ligera subestiman cuán complejo será el primer incidente de doble notificación.

Anclajes de gobierno distintos

El gobierno GDPR cae sobre la función DPO, obligatoria para ciertos tratamientos. El gobierno NIS2 cae sobre el órgano de dirección, con obligaciones de formación directas y exposición a responsabilidad personal.

En una empresa mediana sin CISO, la tentación es pedir al DPO que absorba el gobierno NIS2. Es un error. El DPO tiene una independencia definida frente a las decisiones operativas del responsable; el líder de ciberseguridad para NIS2 necesita estar dentro de la cadena operativa. Los dos roles pueden sentarse juntos; no pueden colapsar en uno.

Un programa unificado que funciona

Hemos construido y operado programas duales GDPR-NIS2 en varios encargos. El patrón que funciona de forma consistente tiene cinco elementos.

Elemento 1 · Un catálogo de controles, dos lentes de política

Construya un único catálogo de controles de ciberseguridad. Etiquete cada control con los artículos GDPR y los artículos NIS2 que satisface. Úselo como fuente única de verdad para auditoría, reporte al consejo y evidencia. Evite los catálogos paralelos duplicados que suelen emerger de proyectos de cumplimiento en silos.

Elemento 2 · Dos foros de gobierno con interfaces explícitas

Mantenga el comité de protección de datos (liderado por DPO, foco GDPR) y cree o refuerce el comité de ciberseguridad (liderado por líder ciber, foco NIS2 y alcance más amplio). Defina la interfaz de forma explícita: qué presenta cada foro al otro, con qué cadencia, quién asiste a ambos. Una sesión conjunta trimestral cubriendo métricas de incidentes y riesgo de terceros funciona en la mayoría de empresas medianas.

Elemento 3 · Un plan de respuesta con rutas de notificación duales

El plan de respuesta es compartido. Los anexos de notificación se separan. El plan debe dejar explícito que un incidente puede disparar notificación GDPR, NIS2, ambas o ninguna, y el árbol de decisión debe ser visible para el responder durante la primera hora.

Pruebe ese anexo en su próximo tabletop. La primera vez que el flujo de doble notificación corra en un incidente real, con los dos relojes activos y la dirección preguntando, no es el momento para descubrir ambigüedad en el plan.

Elemento 4 · Una evaluación de cadena de suministro, dos flujos de reporte

El proceso de evaluación de terceros es compartido. La salida alimenta tanto el Registro de Actividades de Tratamiento del GDPR como el registro de riesgo de cadena de suministro NIS2. Asegúrese de que el cuestionario recoge lo que ambos regímenes necesitan: categorías y ubicaciones de datos para GDPR, criticidad y compromisos de notificación para NIS2.

Elemento 5 · Un repositorio de evidencias, dos vistas de auditoría

Un único repositorio de evidencias (GRC, ticketing o repositorio documental estructurado) alberga la evidencia. Dos búsquedas guardadas o dos vistas dan a cada audiencia lo que necesita. El auditor de protección de datos ve la evidencia relevante GDPR; el supervisor NIS2 (o su auditoría interna NIS2) ve la evidencia relevante NIS2.

El uplift unificado de 90 días

Para una empresa con un programa GDPR funcional y que parte de cero en NIS2, el uplift realista es de 90 días de trabajo focalizado. Comprimirlo más es posible solo a coste de calidad. Estirarlo es posible, pero el coste político de "seguimos trabajando" suele exceder al técnico de terminar.

Una forma realista semana a semana:

Tras 90 días, el trabajo residual (filiales, sectores adicionales, obligaciones sectoriales específicas) es incremental. El trabajo estructural está hecho.

Las trampas que vemos más a menudo

> "Los programas duales GDPR-NIS2 más limpios que hemos auditado comparten un rasgo: un único responsable que trata ambos regímenes como un programa con dos flujos de reporte. Los más sucios comparten otro: dos proyectos paralelos que se ven una vez al trimestre y discrepan." — Revisión de auditorías de programas duales IBL, 2025

Qué hacemos en IBL

Llevamos uplifts unificados GDPR-NIS2 para empresas medianas con programa GDPR funcional que necesitan construir la capa NIS2 encima sin duplicación. El encargo es típicamente un alcance fijo de 90 días con líder nombrado, stand-up semanal con cumplimiento y TI del cliente y un informe escrito al final que la dirección puede presentar a su supervisor.

Si quiere conversar sobre su postura GDPR-NIS2 actual, escriba a [email protected]. Respondemos en un día hábil.

---

Ibida Black Level S.L. es una consultora boutique de ciberseguridad con sede en Málaga y equipo operativo en Rumanía. Trabajamos con empresas medianas europeas que prefieren la honestidad técnica al envoltorio comercial. Fuimos fundados en 2026; no inventamos una historia más larga.

Lectura relacionada

Etiquetas: gdpr, nis2, cumplimiento, protección-datos, notificación-incidentes, cadena-suministro, gobierno