norppa.io
Guías

Guía NIS2 · 9 min

RGPD vs NIS2: solapamiento, diferencias y cuándo un incidente activa ambos

El RGPD y NIS2 tocan ambos la seguridad y conllevan fuertes multas, por lo que se confunden, pero protegen cosas distintas y responden ante autoridades distintas. El riesgo no es elegir el equivocado; es no ver que un solo incidente puede activar ambos, con plazos distintos. Esta guía traza la frontera, muestra el solapamiento, explica la interacción (cooperación y sin doble multa) y da una respuesta clara a los equipos que sirven a clientes bajo ambos.

Puntos clave

  • El RGPD protege los datos personales y se aplica a casi cualquier organización; NIS2 protege la ciberresiliencia y solo se aplica a entidades esenciales e importantes designadas.
  • Un incidente puede exigir dos notificaciones: una notificación de brecha de datos personales a su autoridad de control en 72 horas (RGPD art. 33) y un informe a su CSIRT a 24h/72h/un mes (NIS2 art. 23).
  • Están diseñados para encajar: las autoridades cooperan (NIS2 art. 35) y no se sanciona dos veces por la misma conducta, pero usted evalúa y notifica igualmente bajo cada uno donde aplique.

Qué regula cada uno

El RGPD y NIS2 son ambos normas de la UE que tocan la seguridad, y se confunden, pero protegen cosas distintas. El RGPD protege los datos personales; NIS2 protege la continuidad y la seguridad de los servicios esenciales. Una organización puede estar sujeta fácilmente a ambos a la vez.

La distinción más clara: el RGPD pregunta «¿protege los datos personales de las personas?» y se aplica a casi cualquier organización que los trate. NIS2 pregunta «¿es su organización resiliente operativa y cibernéticamente?» y solo se aplica a entidades esenciales e importantes designadas en sectores concretos.

RGPD: datos personales, casi todos

Reglamento (UE) 2016/679, aplicable desde 2018. Regula el tratamiento de datos personales por responsables y encargados: base jurídica, derechos de los interesados y seguridad del tratamiento (art. 32). Aplicado por las autoridades de protección de datos.

NIS2: ciberseguridad, entidades designadas

Directiva (UE) 2022/2555, transpuesta al derecho nacional (plazo 17 de octubre de 2024). Regula la gestión de riesgos de ciberseguridad (art. 21) y la notificación de incidentes (art. 23) para entidades esenciales e importantes. Aplicada por las autoridades nacionales de ciberseguridad y los CSIRT.

La trampa: un incidente, dos notificaciones

Una sola brecha puede activar ambos regímenes: ante autoridades distintas, con plazos distintos. Conozca ambos:

RGPD art. 33

Si un incidente de seguridad afecta a datos personales, notifique a su autoridad de control sin dilación indebida y, de ser factible, en un plazo de 72 horas desde que tenga conocimiento: salvo que sea improbable que la brecha entrañe un riesgo para los derechos y libertades de las personas.

NIS2 art. 23

Si es un incidente significativo, envíe a su CSIRT una alerta temprana en 24 horas, una notificación en 72 horas y un informe final en un mes.

Ambos a la vez

Un ataque de ransomware que cifra datos personales es, simultáneamente, un incidente significativo de NIS2 y una brecha de datos personales del RGPD: dos presentaciones, dos autoridades, dos plazos.

Dónde se solapan

Implemente bien uno y partes del otro se siguen. Ambos exigen:

  • Seguridad del tratamiento / medidas de gestión de riesgos: controles técnicos y organizativos proporcionados.
  • Notificación de incidente o brecha en plazos definidos, con documentación de lo ocurrido y de la respuesta.
  • Responsabilidad: la dirección debe asumirla, y ambos regímenes conllevan multas administrativas importantes.
  • Registros y evidencia: debe poder demostrar, no solo afirmar, que los controles existen y funcionan.
  • Garantía de terceros: RGPD mediante contratos de encargo (art. 28), NIS2 mediante seguridad de la cadena de suministro (art. 21.2.d).

La interacción clave: cooperación y sin doble multa

NIS2 se redactó para encajar con el RGPD, no para duplicarlo. Según el artículo 35 de NIS2, cuando una autoridad de ciberseguridad tenga conocimiento de que un incidente en una entidad puede entrañar una brecha de datos personales notificable conforme al art. 33 del RGPD, debe informar a la autoridad de protección de datos sin dilación indebida. Las dos autoridades cooperan e intercambian información.

Crucial: no se sanciona dos veces por la misma conducta. Cuando una autoridad de protección de datos impone una multa del RGPD por una infracción, la autoridad NIS2 no puede imponer además una multa NIS2 (art. 34) derivada de la misma conducta. Pero es una protección frente a la doble sanción por un acto: no fusiona las dos obligaciones. Usted sigue evaluando, documentando y notificando bajo cada régimen donde aplique.

Qué obligaciones aplican depende de los hechos: ¿había datos personales implicados, y es usted una entidad esencial o importante? Confirme los detalles con su autoridad de protección de datos, su autoridad nacional de ciberseguridad y asesoramiento cualificado.

¿Cuál se le aplica?

La mayoría de las organizaciones responden ante uno; muchas ante ambos:

Trata datos personales pero no es entidad esencial/importante

El RGPD aplica; NIS2 no aplica directamente: aunque la diligencia debida de un cliente NIS2 sobre su cadena de suministro puede alcanzarle a través de sus contratos.

Es una entidad esencial/importante que trata pocos datos personales

NIS2 aplica en su totalidad; el RGPD aplica a los datos personales que sí trate (empleados, clientes).

Está sujeto a ambos (el caso común)

Opere un único proceso de respuesta a incidentes que satisfaga ambos plazos: su autoridad de protección de datos en 72 h para brechas de datos, su CSIRT en la vía 24h/72h/un mes para incidentes significativos.

Es proveedor o encargado

Espere tanto cláusulas de encargo del RGPD (art. 28) como escrutinio NIS2 de la cadena de suministro (art. 21.2.d) de sus clientes: cuestionarios, solicitudes de evidencia y monitoreo continuo.

Fuentes: Reglamento (UE) 2016/679 (RGPD) y Directiva (UE) 2022/2555 (NIS2), en particular el art. 35 sobre la interacción con el RGPD. Confirme cómo aplican ambos a su situación con su autoridad de protección de datos y su autoridad nacional de ciberseguridad.

Cómo ayuda norppa.io

Ambos regímenes esperan ahora una garantía continua y respaldada por evidencia sobre sus proveedores y encargados: RGPD mediante la supervisión de encargados (art. 28), NIS2 mediante la seguridad de la cadena de suministro (art. 21.2.d). norppa.io monitoriza cada dominio de proveedor en más de cien puntos de control cada día, con cada hallazgo asignado al artículo NIS2 que afecta y exportable para sus registros.

Los cuestionarios de autoevaluación captan los controles contractuales y de proceso que ni una autoridad de protección de datos ni un auditor de ciberseguridad ven desde fuera, y cada respuesta se coteja con el perfil técnico en vivo. De modo que, venga la pregunta desde el ángulo de protección de datos o de NIS2, puede mostrar evidencia actual y corroborada en lugar de afirmaciones.

Una fuente de evidencia de proveedores para ambos regímenes

Vea un informe de proveedor de ejemplo (hallazgos, correspondencia de artículos y evidencia) en unos dos minutos.

Ver informe de ejemplo
Ver el panel de ejemplo

Guías relacionadas

Cómo cumplir NIS2: una hoja de ruta paso a paso

Los pasos hacia el cumplimiento de NIS2 en orden: confirmar el ámbito, registrarse, responsabilidad de la dirección (art. 20), las medidas del art. 21.2, seguridad de la cadena de suministro, notificación de incidentes (art. 23) y garantía continua y evidenciada.

¿Quién está sujeto a NIS2? Entidades esenciales e importantes, sectores y umbrales de tamaño

Determina si NIS2 te aplica: los dos niveles, los sectores de los anexos I/II, los umbrales de tamaño, las excepciones independientes del tamaño y cómo la cadena de suministro te involucra aunque no estés designado.

NIS2 y el requisito de la cadena de suministro: qué significa en la práctica

NIS2 obliga a las entidades esenciales e importantes a evaluar los ciberriesgos de su cadena de suministro. Clasificación de proveedores, riesgo de cuarta parte, notificación Art. 23 y lo que buscan los auditores.

Evaluación del ciberriesgo del proveedor: qué comprueba el monitoreo NIS2 automatizado

Todas las categorías de comprobación explicadas: ransomware, filtraciones dark web, TLS/DNSSEC, seguridad de cookies, CVE/EPSS, sanciones, listas negras MX y SAQ. Ciclo de vida de hallazgos y mapeo de artículos NIS2.

NIS2 Art. 21(2): lista de verificación de seguridad para proveedores

Lista de verificación para equipos de adquisiciones y seguridad: qué preguntar, qué evidencias recopilar y cómo responder cuando un proveedor no cumple. Incluye documentos de evidencia sugeridos.

Cuestionario de proveedores NIS2 (SAQ): qué preguntar, cómo puntuarlo y una plantilla gratuita

Qué preguntar a los proveedores bajo el art. 21.2.d, cómo puntuar respuestas y responder a brechas, por qué la autodeclaración necesita verificación, y una plantilla gratuita.

Notificación de incidentes NIS2: los plazos de 24 y 72 horas explicados

Qué es un incidente significativo, el calendario del artículo 23 (alerta a 24 h, notificación a 72 h, informe final a un mes) y cuándo el incidente de un proveedor se convierte en su obligación.

NIS2 y la responsabilidad de la dirección: lo que el consejo y la alta dirección deben saber

Qué espera NIS2 del órgano de dirección: deberes de aprobación y supervisión, responsabilidad personal (art. 20), formación, KPI de reporte al consejo y sanciones del art. 34.

ISO 27001 y NIS2: lo que su SGSI ya cubre, y las brechas que no

Si tiene ISO 27001: qué se traslada a NIS2 y qué no (notificación legal, responsabilidad de la dirección, registro y garantía continua de la cadena de suministro) y cómo cerrar la brecha.

NIS2 vs DORA: en qué se diferencian, dónde se solapan y cuál te aplica

En qué se diferencian y solapan los dos regímenes de la UE, por qué DORA es lex specialis para entidades financieras, cuál te aplica, y qué significan ambos para el riesgo de terceros.

El Reglamento de Ciberresiliencia de la UE (CRA): ámbito, calendario y qué significa para su cadena de suministro

Qué exige el CRA, sus fechas escalonadas (en vigor 2024, notificación sept 2026, plena conformidad dic 2027), a quién se aplica y por qué el SaaS puro a menudo no, cómo complementa a NIS2 y qué significa para la contratación y la diligencia de proveedores.

El Reglamento de IA de la UE: niveles de riesgo, calendario y qué deben hacer los responsables del despliegue (artículo 26)

Qué exige el Reglamento de IA de la UE: los niveles de riesgo, las fechas escalonadas (en vigor 2024, prohibido feb 2025, GPAI ago 2025, alto riesgo ago 2026), las obligaciones del art. 26 del responsable del despliegue, cómo se suma a NIS2 y el RGPD, y qué significa para la adquisición de IA.