Cumplimiento

ENS, RGPD y NIS2: qué exige tu infraestructura en 2026

· 10 min de lectura

El cumplimiento normativo suele tratarse como un trámite que se resuelve con un PDF y una casilla. En 2026, con NIS2 ya transpuesta y aplicándose, esa actitud se paga cara: las sanciones son reales, la responsabilidad llega a la dirección y los clientes empiezan a pedir evidencias antes de firmar. Tu infraestructura no es ajena a esto; es donde se demuestra (o se incumple) la mayoría de los requisitos.

Esta guía aterriza tres marcos que se solapan (ENS, RGPD y NIS2) en lo que realmente tiene que hacer tu plataforma.

Los tres marcos, en una frase cada uno

  • ENS (Esquema Nacional de Seguridad). Obligatorio para el sector público español y sus proveedores. Define categorías de seguridad (básica, media, alta) y un catálogo de medidas técnicas y organizativas.
  • RGPD. El reglamento europeo de protección de datos personales. Marca cómo se tratan, dónde se alojan y quién accede a los datos de personas.
  • NIS2. La directiva de ciberseguridad para sectores esenciales e importantes (energía, sanidad, transporte, banca, infraestructura digital y más). Eleva las exigencias de gestión de riesgos y notificación de incidentes.

Los tres se solapan en un punto clave: te obligan a saber dónde están tus datos, quién accede y qué pasa si algo falla.

La CLOUD Act y la soberanía del dato

Aquí está el malentendido más caro del sector. Muchas empresas creen que con elegir la “región Europa” de un hiperescalar estadounidense ya cumplen con la soberanía del dato. No es así.

La CLOUD Act estadounidense permite a las autoridades de EE. UU. requerir datos a empresas estadounidenses independientemente de dónde estén alojados físicamente. Es decir: tus datos pueden estar en un datacenter de Fráncfort y seguir bajo jurisdicción estadounidense si el proveedor es una empresa de EE. UU.

La soberanía real se apoya en tres palancas:

  1. Jurisdicción. Que el proveedor y la entidad que controla la infraestructura estén bajo derecho europeo.
  2. Ubicación. Que los datos residan físicamente en la UE (necesario, pero no suficiente por sí solo).
  3. Cifrado y control de claves. Que tú controles las claves de cifrado, de modo que nadie pueda leer los datos sin tu consentimiento.

Para sectores regulados, esto suele inclinar la balanza hacia un cloud privado en datacenters europeos operado por una entidad europea.

Checklist práctico de infraestructura

Lo que un auditor (o un cliente exigente) va a querer ver:

Datos y ubicación

  • Inventario de dónde reside cada conjunto de datos (país y datacenter).
  • Confirmación de que los datos sensibles no salen de la UE.
  • Contratos de tratamiento (DPA) con cada proveedor implicado.

Cifrado

  • Datos cifrados en reposo (en disco/cabina).
  • Datos cifrados en tránsito (TLS en toda comunicación).
  • Gestión de claves bajo tu control, no del proveedor.

Control de acceso

  • Autenticación multifactor (MFA) para accesos administrativos.
  • Principio de mínimo privilegio y revisión periódica de permisos.
  • Registro y trazabilidad de quién accede a qué y cuándo.

Continuidad y resiliencia

  • Backups verificados, con copias inmutables (anti-ransomware).
  • Plan de recuperación ante desastres probado, con RPO y RTO definidos.
  • Segmentación de red y defensa frente a movimiento lateral.

Gestión de incidentes (clave en NIS2)

  • Procedimiento de detección y respuesta documentado.
  • Capacidad de notificar un incidente significativo en plazo (NIS2 marca tiempos estrictos: alerta temprana en 24h).
  • Registros de eventos retenidos el tiempo suficiente para investigar.

NIS2: lo que cambia respecto a antes

NIS2 amplía el alcance a muchas más organizaciones y endurece dos cosas:

  • Responsabilidad de la dirección. Los órganos de gobierno deben aprobar y supervisar las medidas de gestión de riesgos. Ya no es “cosa de IT”.
  • Notificación rápida. Ante un incidente significativo, alerta temprana en 24 horas y notificación más detallada en 72 horas. Eso exige tener detección y procesos listos antes de que pase algo, no improvisar.

Cómo encaja el cloud privado

Un cloud privado bien diseñado en la UE simplifica gran parte de esta lista. No por arte de magia, sino porque te devuelve el control: sabes exactamente dónde están los datos, quién toca el hardware, qué versión corre cada cosa y quién accede. La trazabilidad y la soberanía dejan de ser una promesa contractual y pasan a ser una propiedad verificable de tu infraestructura.

Eso no exime de hacer el trabajo: cifrado, MFA, backups inmutables y un plan de respuesta probado siguen siendo tu responsabilidad. Pero parte de una base mucho más defendible ante una auditoría.

Lo que de verdad cuenta

Cumplir no va de coleccionar certificados. Va de poder demostrar control sobre tus datos cuando alguien pregunte. Empieza por saber dónde está cada dato y bajo qué jurisdicción; el resto del checklist se construye encima de eso. Y si tu sector es de los regulados, no des por hecho que la “región Europa” de un hiperescalar te cubre: lee la letra pequeña de la CLOUD Act antes de firmar.

Cumplimiento
Cumplimiento
Cumplimiento

La regla 3-2-1 y el backup inmutable: defensa real contra el ransomware

El ransomware moderno busca y cifra tus backups antes de atacar. La regla 3-2-1 y las copias inmutables son la diferencia entre restaurar en horas o pagar el rescate. Cómo aplicarlas de verdad.

9 min
Cumplimiento
Cumplimiento
Cumplimiento

NIS2 para empresas en España: checklist de cumplimiento

NIS2 ya se aplica y afecta a muchas más empresas de las que creen, con responsabilidad directa de la dirección. Checklist concreto para saber si te aplica y qué tiene que cumplir tu infraestructura.

10 min
Proveedores
Proveedores
Proveedores

Alternativas a VMware en 2026: el mapa completo tras Broadcom

Proxmox, Nutanix, Hyper-V, OpenStack, XCP-ng… cada alternativa a VMware tiene su punto fuerte y su trampa. Mapa honesto para elegir según tu equipo y tus cargas, no según la moda.

10 min