Normativas de ciberseguridad en España: RGPD, NIS2 y DSA explicadas
El Equipo de TheWatcher · 13/09/2025 · 5 min de lectura
El marco normativo de ciberseguridad en España, explicado sin tecnicismos
La ciberseguridad ha dejado de ser una decisión puramente técnica u opcional: en España y en el resto de la Unión Europea existe un marco normativo que obliga a las empresas a proteger los datos que manejan y, en muchos casos, a demostrar que lo hacen. Las tres normas que más suelen aparecer son el RGPD, la directiva NIS2 y la DSA, y aunque se solapan en espíritu, cada una regula algo distinto.
RGPD: la protección de los datos personales
El Reglamento General de Protección de Datos es la norma que regula cómo se recogen, usan y protegen los datos personales de cualquier persona —emails, teléfonos, direcciones, historiales médicos, entre otros—. Aplica prácticamente a cualquier empresa que gestione datos de clientes o empleados, sin importar el tamaño.
En la práctica, esto implica que solo se pueden recopilar datos con un consentimiento claro y explícito, que hay que informar de forma transparente sobre cómo se van a usar, y que si se produce una fuga de datos, existe la obligación de notificarlo a la AEPD (la Agencia Española de Protección de Datos) en un plazo máximo de 72 horas desde que se tiene constancia del incidente. Ese plazo tan ajustado es, precisamente, uno de los motivos por los que detectar una filtración cuanto antes —y no meses después, cuando la avisa un tercero— marca una diferencia real; lo explicamos en cómo saber si tus datos están en la dark web.
Las sanciones del RGPD no son simbólicas: pueden alcanzar hasta el 4% de la facturación anual global de la empresa, o 20 millones de euros, lo que sea mayor.
NIS2: ciberseguridad en sectores críticos y su cadena de proveedores
La directiva NIS2, en vigor desde 2023, amplía de forma notable el número de organizaciones obligadas a cumplir requisitos de ciberseguridad. Afecta directamente a sectores esenciales —energía, transporte, sanidad, banca, agua, sector digital— pero también, y esto es lo que sorprende a muchas empresas, a los proveedores clave de esos sectores. Una pyme que da servicio de software o de logística a un hospital, por ejemplo, puede quedar obligada por esta vía aunque ella misma no opere en un sector "crítico".
Las obligaciones principales incluyen implementar medidas técnicas y organizativas de seguridad proporcionadas al riesgo, notificar incidentes graves en menos de 24 horas —un plazo todavía más exigente que el del RGPD— y estar preparado para auditorías periódicas. Este tipo de exigencias es una de las razones por las que la actividad de grupos de ransomware como los que describimos en nuestra guía de ransomware o en el análisis de LockBit 3.0 preocupa tanto a estos sectores: un incidente no gestionado a tiempo no es solo un problema operativo, es también un problema de cumplimiento.
DSA: la Ley de Servicios Digitales
La DSA (Digital Services Act) tiene un enfoque distinto: se dirige a plataformas online, marketplaces y servicios digitales que operan en la Unión Europea, y busca aumentar la transparencia y la seguridad de esos servicios. Entre sus requisitos están un mayor control sobre contenidos ilícitos, transparencia en publicidad y algoritmos, y la obligación de gestionar riesgos sistémicos, entre ellos los de ciberseguridad. Afecta a menos empresas que el RGPD o la NIS2, pero es relevante para cualquier negocio que opere una plataforma digital con usuarios.
Qué pasa si no se cumple
Las consecuencias van más allá de la multa económica, aunque esta ya es disuasoria por sí sola —hasta el 4% de la facturación bajo el RGPD—. Una empresa sancionada suele sufrir también un daño reputacional que tarda en repararse, y hay un efecto menos evidente pero real: los grupos de ransomware conocen este marco normativo y, en ocasiones, lo usan como palanca adicional de presión, recordando a la víctima que el incumplimiento normativo agravará las consecuencias si los datos robados se hacen públicos. Esta dinámica se combina a menudo con campañas de phishing dirigidas a los propios afectados; lo tratamos en phishing en 2025.
Cumplir no es solo evitar la multa
Hay una forma más útil de ver este marco normativo: no como una lista de obligaciones que evitar incumplir, sino como una razón concreta para tener visibilidad real sobre lo que le pasa a tus datos fuera de tu red. El feed de ciberamenazas en España de TheWatcher, por ejemplo, sirve como evidencia de vigilancia activa: poder mostrar que se monitoriza de forma continua la aparición de filtraciones relacionadas con la empresa es exactamente el tipo de medida técnica y organizativa que estas normas piden, y ayuda a justificar que una notificación se hizo dentro de plazo porque la detección fue temprana.
Preguntas frecuentes
¿El RGPD aplica a todas las empresas? Sí, siempre que se gestionen datos personales de clientes, usuarios o empleados, independientemente del tamaño de la empresa.
¿Cómo sé si la NIS2 me afecta? Si tu empresa opera en un sector considerado esencial, o si eres proveedor de una organización que opera en uno de esos sectores, es muy probable que te afecte.
¿Qué debo hacer si mi pyme sufre una fuga de datos? Notificarlo a la AEPD dentro del plazo establecido. No hacerlo, o hacerlo tarde, agrava las sanciones posteriores. Repasa también 5 pasos para proteger tu pyme para reducir la probabilidad de que esto ocurra.
¿En qué se diferencian el RGPD y la NIS2, en una frase? El RGPD regula cómo se protegen los datos personales; la NIS2 regula la ciberseguridad de servicios esenciales y de las empresas que los proveen.
TheWatcher ayuda a detectar fugas de datos a tiempo, lo que facilita cumplir con estos plazos de notificación y protege la reputación de tu empresa. Puedes contactar con nuestro equipo si quieres revisar tu caso concreto.