El anteproyecto que transpone NIS2 en España sigue en tramitación parlamentaria en 2026, pero las obligaciones técnicas de la directiva ya son exigibles desde octubre de 2024. Mapa práctico: las diez medidas mínimas de seguridad, la ventana de notificación en 24 horas, 72 horas y un mes, y las nuevas obligaciones de cadena de suministro.
El 2 de agosto de 2026 entran en vigor las obligaciones de alto riesgo (Anexo III), transparencia (Art. 50) y las facultades sancionadoras de la Comisión Europea sobre IA. El primer paso es clasificar cada sistema en prohibido, alto riesgo, GPAI o riesgo mínimo. Checklist técnica por categoría, con plantilla descargable.
La Ley de IA europea iba a entrar en aplicación plena para sistemas de alto riesgo en agosto de 2026. El Digital Omnibus, aprobado por el Parlamento y el Consejo en junio de 2026, retrasa esa fecha 17 meses, hasta diciembre de 2027. Qué obligaciones rigen ya y qué cambia de verdad.
El discurso de la IA soberana europea lleva tres años alimentando titulares, inversiones públicas y acuerdos interestatales. Empezamos a ver qué parte de la promesa tiene sustancia técnica y qué parte sigue siendo narrativa política, con Mistral, Aleph Alpha y la red de supercomputación EuroHPC como ejes.
La obligación del EAA entró en vigor el 28 de junio de 2025. Seis meses después tenemos ya primeros expedientes sancionadores, criterios de enforcement y lecciones operativas para equipos que aún corren detrás del calendario. Lo que sí se audita y lo que todavía no.
Desde el 2 de agosto de 2025 son aplicables las obligaciones de la Ley de IA europea para modelos de propósito general, autoridades nacionales y régimen sancionador. Un repaso a lo que cambia para quienes desplegamos IA en Europa.
La Ley de IA de la UE (Reglamento 2024/1689) entró en vigor el 1 de agosto de 2024. Clasifica los sistemas IA en cuatro niveles de riesgo con plazos escalonados: prohibiciones en febrero 2025, obligaciones GPAI en agosto 2025 y requisitos de alto riesgo en agosto 2026. Aplica a cualquier empresa que opere o venda en la UE, con sanciones que superan al GDPR.
La Directiva NIS2 amplía la ciberseguridad europea de 7 a 18 sectores, exige 10 medidas técnicas mínimas y notificación de incidentes en 24 horas, e impone sanciones de hasta 10 millones de euros o el 2% de la facturación global, con responsabilidad personal para los órganos directivos que incumplan.
5 min2754,3
Usamos cookies propias y de terceros para analizar el tráfico del sitio. Puedes aceptarlas, rechazarlas o configurar tu elección.
Más información sobre las cookies
Preferencias de cookies
NecesariasImprescindibles para el funcionamiento del sitio. Siempre activas.
AnalíticasNos ayudan a entender cómo se usa el sitio (Google Analytics).