Cómo abordar el cumplimiento normativo

Las empresas españolas afrontan una etapa crítica en materia de cumplimiento normativo. Según el informe State of Compliance 2024 de Deloitte, más del 60 % de las organizaciones reconocen dificultades para adaptarse al ritmo creciente de las exigencias regulatorias, especialmente en ciberseguridad, privacidad y nuevas tecnologías. Marcos como NIS2 o DORA elevan los estándares y amplían el alcance de las obligaciones incluso a terceros, lo que exige adoptar un enfoque proactivo y transversal.

En opinión de Fernando Feliu, Executive Managing Director de Virtual Cable, “El cumplimiento normativo es un desafío para
las empresas españolas, debido a la creciente complejidad y alcance de regulaciones como el RGPD, NIS2 y DORA”.A su juicio, muchas organizaciones “aún están en proceso de análisis, adaptación o mejorando sus sistemas para cumplir con estos marcos regulatorios y sus implicaciones”.

José Luis Álvarez, Senior Executive Cloud Architect de NetApp, apunta que “la regulación tecnológica ha dejado de ser una preocupación secundaria para convertirse en un pilar estratégico. Las empresas más avanzadas entienden que adaptarse a normas como DORA o NIS2 no es solo evitar sanciones, sino ganar en eficiencia, resiliencia y confianza del mercado”.

Desde Sophos Iberia, Álvaro Fernández, Director de Ventas, coincide en que “Aunque las empresas están avanzando en cumplimiento normativo, muchas lo hacen de forma reactiva, especialmente las pymes.” Y es que, como muchas, la llegada de NIS2, que afectará a todas las empresas con más de 50 empleados, “exige un enfoque más proactivo en ciberseguridad”.

Por su parte, Rodrigo Hornos, consultor en IBM, apunta que “El cumplimiento ha pasado de ser una obligación legal a convertirse en un componente estratégico.” No obstante, advierte que “aún queda camino por recorrer en la automatización del compliance y la integración del cumplimiento desde el diseño de procesos y tecnología”.

A estas voces se suman otras del ecosistema tecnológico. César Alonso, Director of GlobalSuite Projects & Operations de GlobalSuite Solutions, señala que “Muchas organizaciones ya son conscientes de la necesidad de alinearse con marcos como el RGPD, NIS2 o DORA, especialmente en sectores más regulados. Sin embargo, todavía es habitual encontrar un enfoque reactivo, sobre todo en pequeñas y medianas empresas.”

En la misma línea, Mario García, director general de Check Point Software para España y Portugal, advierte: “Existe una importante brecha entre las grandes corporaciones y las pymes. Mientras que las primeras han integrado departamentos de compliance y ciberseguridad bien estructurados, muchas pymes siguen adoptando un enfoque reactivo, limitado por presupuestos y falta de personal especializado.”

Seguridad como pilar del cumplimiento

En un entorno cada vez más digital y regulado, la ciberseguridad se ha convertido en la piedra angular del cumplimiento normativo. Según el Cybersecurity Almanac 2024 de Cybersecurity Ventures, el coste global derivado de ciberataques alcanzará los 10,5 billones de dólares en 2025, lo que ha obligado a los reguladores a exigir medidas más estrictas. Cumplir sin una estrategia de seguridad robusta ya no es viable.

Como bien señala Fernando Feliu, “la ciberseguridad y la resiliencia son los núcleos del cumplimiento normativo actual”. Y añade: “sin una estrategia de seguridad avanzada, es prácticamente imposible cumplir con los requisitos legales”. En palabras de Diego Pieruz, de Minsait Cyber, “cumplir por cumplir y seguir las normativas con orientación de checklist no protege de nada”.
El experto defiende una estrategia basada en la seguridad desde el diseño y adaptada a la complejidad del negocio.

En esta línea, Álvarez Cubero destaca que “cumplir sin una estrategia avanzada de seguridad es inviable: las amenazas no entienden de excepciones y los reguladores lo saben. Por eso la resiliencia debe demostrarse no solo con documentación, sino con la capacidad real de prevenir, detectar y recuperar ante incidentes”.

Álvaro Fernández coincide en que “no se trata únicamente de instalar herramientas, sino de adoptar un enfoque integral que combine tecnología, procesos y personas. El cumplimiento normativo sin una estrategia sólida de seguridad no es posible”. Por su parte, Rodrigo Hornos refuerza esta visión: “los datos son el activo más valioso y sin una estrategia de ciberseguridad avanzada no se puede hablar de cumplimiento. Hay que asegurar la integridad, confidencialidad y disponibilidad de la información con soluciones automatizadas y trazables”.

La ciberseguridad y la resiliencia son los núcleos del cumplimiento normativo. Sin una estrategia de seguridad avanzada es imposible cumplir los requisitos legales

A este consenso se suma César Alonso, de GlobalSuite Solutions, quien añade una visión complementaria: “Cumplir con las normativas sin una estrategia avanzada que integre tecnología, formación y monitoreo continuo no es viable. Es fundamental abordar el cumplimiento desde una perspectiva integral de gestión de riesgos.”

Además, Mario García, de Check Point, destaca un aspecto clave en los procesos de auditoría: “Las auditorías regulatorias ya no solo evalúan procesos, sino también la eficacia de los controles de seguridad, como la segmentación de red, la detección de amenazas, el cifrado y la gestión de identidades.”

El impulso de la automatización

El auge de la automatización está transformando la manera en que las organizaciones abordan el cumplimiento. Según McKinsey, 6 de cada 10 compañías que han automatizado sus operaciones redujeron los errores de cumplimiento en un 40% y lograron ahorros de hasta un 25% en costes de auditoría y adecuación.

En este contexto, Fernando Feliu apunta que “las organizaciones están adoptando tecnologías como la virtualización de escritorios, sistemas IAM y herramientas de auditoría automatizada”, lo que permite minimizar errores y reforzar el cumplimiento. Por su parte, Diego Pieruz subraya que “la automatización se ha convertido en una aliada fundamental porque simplifica el entramado de regulaciones, reduce errores, permite la monitorización continua y facilita la trazabilidad”.

Coincide Álvarez Cubero al señalar que “la automatización marca la diferencia porque estandariza respuestas, minimiza errores humanos y aporta trazabilidad. En entornos híbridos y multicloud ya no es una opción, es una necesidad para mantener el control normativo sin perder agilidad”.

“Las organizaciones están apostando por plataformas que integren XDR, MDR, cifrado, firewalls y Zero Trust desde una misma consola”, añade desde Sophos, Álvaro Fernández, incidiendo en que esto reduce el riesgo humano y permite auditar automáticamente el grado de cumplimiento, “con herramientas como la Evaluación NIS2”.

Si se carece de una cultura de la integridad y la responsabilidad no bastará con tener la mejor tecnología

Pues, como bien subraya Rodrigo Hornos “es clave incorporar cumplimiento desde el diseño, compliance by design, y complementar con capacidades en la nube para disponibilidad y trazabilidad extendidas”, con el objetivo de “minimizar estos errores humanos, y reducir la carga operativa para conseguir respuestas en tiempo real”.

La importancia de la cultura y la formación

Los marcos regulatorios son tan exigentes, como la fragilidad el factor humano. Según un informe de PwC, el 57% de los fallos en cumplimiento tienen su origen en errores humanos, falta de formación o procesos mal comunicados. Por ello, la cultura organizativa es tan importante como la tecnología en cualquier estrategia de compliance. Como bien advierte Fernando Feliu, uno de los errores frecuentes es subestimar la importancia de la formación y la cultura organizativa, “que son vitales para que las herramientas técnicas sean realmente efectivas”.

El error más comun siempre será obviar el factor humano, “la formación y el fomento de una cultura organizativa orientada al cumplimiento y a la ciberseguridad son factores fundamentales”, destacan desde Minsait Cyber.Así como tratar el cumplimiento como un proyecto a corto plazo y delegarlo solo en TI. Sobre esto, Álvaro Fernández señala que “es necesario implicar a la dirección y trabajar la concienciación de todos los empleados”.

Rodrigo Hornos completa esta lista de errores añadiendo la falta de una cultura de integridad
y responsabilidad, “ si no tenemos esto, incluso la mejor tecnología no basta. Apostamos por la formación continua y por capacitar a los equipos para que actúen con criterio, especialmente en situaciones complejas”.

Retos regulatorios de la inteligencia artificial

La llegada del AI Act marca un antes y un después en el marco regulatorio europeo. Aunque su aprobación es reciente, ya obliga a las empresas a replantearse cómo diseñan, entrenan y despliegan sus modelos de IA. El informe Ascendant 2025de Minsait revela que menos del 10% de las empresas ha implementado planes específicos de seguridad para IA. En palabras de Feliu, “el uso de IA generativa plantea retos en cuanto a la transparencia, privacidad y responsabilidad, que la próxima regulación AI Act quiere controlar”.

Como explica Pieruz, “uno de los principales riesgos es la protección de datos”, a lo que se suman los sesgos, la trazabilidad y nuevas superficies de ataque. Por eso recomienda “incorporar desde el diseño principios de ciberseguridad y ética”, así como formación especializada y análisis de los casos de uso.

También hay que tener en cuenta los riesgos legales y ético. Fernández apunta que “la IA generativa implica este tipo de riesgos si no se gestiona adecuadamente. Por eso aplicamos un enfoque responsable con trazabilidad, supervisión humana y transparencia en la toma de decisiones”.

Hornos coincide, “la IA generativa exige control sobre sesgos, trazabilidad y explicabilidad. En IBM usamos watsonx.governance para auditar modelos, mitigar riesgos y asegurar cumplimiento desde el diseño hasta la puesta en producción”. “El AI Act obliga a tratar la IA no solo como una tecnología disruptiva, sino como una responsabilidad ética y regulatoria desde su concepción”, conlcuye Eduardo Solís, Cyber Strategy Lead de Accenture en España y Portugal.

Normativas que marcan la agenda

La regulación tecnológica vive un momento de máxima presión. Normativas como RGPD, NIS2, DORA o el AI Act están reconfigurando el panorama del cumplimiento en sectores críticos. Según el ENISA Threat Landscape 2024, los sectores más afectados son finanzas, salud, energía y administración pública. En opinión de Fernando Feliu, “RGPD, NIS2
y DORA son las normativas que lideran la agenda en ciberseguridad y protección de datos”, especialmente en sectores críticos y sus proveedores.

Está claro que muchas normativas empiezan a exigir su cumplimiento también a entidades de la cadena de suministro, Diego Pieruz añade que esto lo que hace es “ampliar la presión regulatoria a un espectro más general del tejido empresarial.» Álvaro Fernández remarca esta idea, “NIS2 y DORA amplían su alcance a empresas medianas y pequeñas en sectores como sanidad, energía, finanzas o administración pública”.

NIS2 y DORA amplían su alcance a empresas medianas y pequeñas en sectores como el sanitario, el energético el financiero o el sector público

Para hacerle frente a estos marcos sectoriales tan estrictos, desde IBM, destacan: Cloud forFinancial Services, “con controles integrados para garantizar cumplimiento normativo en el sector bancario”. Desde Palo Alto Networks, Marc Sarrias advierte que “NIS2, DORA y el AI Act están redefiniendo el concepto de cumplimiento: ya no basta con proteger datos, hay que demostrar control sobre procesos, algoritmos y proveedores tecnológicos”.

En esa misma línea, desde Accenture apuntan que “el cumplimiento ha dejado de ser una obligación legal para convertirse en un habilitador estratégico de la confianza digital”, especialmente en un entorno normativo que evoluciona con rapidez y transversalidad.

Auditoría continua y responsabilidad compartida

La auditoría de cumplimiento ya no puede ser puntual. Según ISACA, las organizaciones que realizan auditorías continuas o automatizadas reducen los riesgos de sanción en un 35%. La responsabilidad, además, se distribuye entre varios actores, por lo que la colaboración se vuelve esencial.

Como indica Fernando Feliu, “la auditoría debe ser continua y adaptarse al ritmo de evolución normativa y tecnológica”. Y subraya que “la responsabilidad es compartida: los proveedores deben garantizar soluciones certificadas; los integradores, su correcta implementación; y los clientes, mantener políticas internas y formación”.

Álvaro Fernández incide, “las auditorías deben formar parte de un proceso continuo y automatizado, no limitarse a revisiones anuales. Y el cumplimiento es una responsabilidad de todos los actores de la cadena tecnológica”. Los procesos deben auditarse permanentemente, con especial atención tras cambios normativos o tecnológicos. “La colaboración transparente entre proveedor, integrador y cliente es clave”, resume Rodrigo Hornos.

Prepararse para el cumplimiento del futuro

En un futuro regulatorio tan cambiante, prepararse requiere anticipación, visión estratégica y compromiso transversal. El informe Global Regulatory Outlook 2025 de KPMG alerta de que el 70% de las organizaciones no están suficientemente preparadas para los marcos que entrarán en vigor entre 2025 y 2027.

Fernando Feliu lo resume con claridad: “las empresas deben apostar por soluciones tecnológicas flexibles, escalables y certificadas, que integren seguridad avanzada”. Además, afirma que es “fundamental que los CEO asuman un papel activo, comprendan estos cambios y lideren su implantación de forma efectiva”.

Diego Pieruz recomienda “crear estructuras organizativas ágiles que puedan adaptarse rápidamente a los cambios normativos y coordinar de forma transversal las áreas de seguridad, cumplimiento y tecnología”. Por su parte, Álvaro Fernández concluye que “el cumplimiento debe convertirse en un habilitador de confianza y competitividad. Las empresas deben adoptar un enfoque de compliance by design, unificar su ecosistema de seguridad y fomentar formación continua”.

Rodrigo Hornos coincide con sus compañeros, “la combinación de automatización, gobernanza, cultura organizativa y liderazgo estratégico es la única vía para convertir el cumplimiento en una ventaja competitiva”. Del mismo modo, César Alonso destaca que, “la capacidad de adaptación será clave. Las empresas que estén preparadas para responder con agilidad a los cambios regulatorios contarán con una ventaja competitiva clara”.

Marc Sarrias advierte que “el primer paso es realizar un análisis integral del cumplimiento legal, técnico y operativo, y definir una hoja de ruta que priorice capacidades como trazabilidad automatizada y residencia de datos en la UE, antes de que los marcos regulatorios sean exigibles.” Asimismo, Eduardo Solis subraya que “las organizaciones líderes integran el cumplimiento desde el diseño (‘compliance by design’), con modelos de gobierno adaptativos, automatización de auditorías y gestión de riesgos en tiempo real.”

Finalmente, Mario García refuerza esta visión con una recomendación práctica: “Las empresas deben automatizar procesos clave, integrar la ciberseguridad en la cultura corporativa y apoyarse en socios tecnológicos sólidos que ofrezcan soluciones auditables y adaptadas.”