¿Qué normativas EU cubre IgeraRegTech?

IgeraRegTech cubre las 5 principales normativas EU de 2024-2026: AI Act (Reglamento EU 2024/1689), DORA (Reglamento EU 2022/2554), CSRD (Directiva EU 2022/2464), NIS2 (Directiva EU 2022/2555) y CBAM (Reglamento EU 2023/956). Cada módulo RAG está entrenado con los textos normativos oficiales, actos delegados y guías técnicas de las autoridades supervisoras.

¿Cómo ayuda IgeraRegTech a evitar multas por incumplimiento?

IgeraRegTech permite a los equipos de compliance acceder a la normativa exacta con cita de artículo, evaluar el estado de cumplimiento actual mediante gap analysis automatizados, generar documentación y plantillas conformes a cada reglamento, y recibir alertas cuando se publican actualizaciones normativas. Esto reduce el riesgo de incumplimiento y las multas asociadas, que pueden alcanzar €35M en el caso del AI Act o el 2% de la facturación global en NIS2.

¿IgeraRegTech reemplaza al abogado o consultor de compliance?

No. IgeraRegTech es una herramienta de asistencia que multiplica la productividad de los equipos legales y de compliance. El sistema RAG cita el artículo exacto y genera borradores, pero la responsabilidad legal y la toma de decisiones finales siempre recae en el profesional cualificado. IgeraRegTech elimina las horas de búsqueda documental para que los expertos se centren en el análisis y la estrategia.

¿Cuál es la diferencia entre entidad esencial e importante en NIS2?

NIS2 distingue: Entidades esenciales (Anexo I): sectores de energía, transporte, banca, infraestructura financiera, salud, agua, infraestructura digital, servicios TIC, administración pública, espacio. Multa máx: €10M o 2% facturación global. Entidades importantes (Anexo II): servicios postales, residuos, química, alimentaria, fabricación. Multa máx: €7M o 1,4% facturación. Umbral de tamaño: >250 empleados O >€50M facturación.

¿Qué plazos de notificación exige NIS2 para incidentes?

El art. 23 NIS2 exige: (1) Alerta temprana en 24 horas desde conocimiento del incidente significativo: tipo de incidente, impacto potencial, medidas iniciales. (2) Notificación completa en 72 horas: análisis preliminar, gravedad, indicadores de compromiso, causa raíz si está disponible. (3) Informe final en 1 mes: causa raíz definitiva, impacto real, medidas correctoras implementadas y planificadas.

¿Qué dice el art. 20 NIS2 sobre la responsabilidad de los directivos?

El art. 20 NIS2 establece que los órganos de dirección deben: (1) aprobar las medidas de gestión de riesgos de ciberseguridad, (2) supervisar su aplicación, (3) recibir formación periódica en ciberseguridad. En caso de incumplimiento grave, las autoridades competentes pueden exigir la suspensión temporal del directivo responsable y prohibirle ejercer funciones directivas.

IgeraRegTechNIS2 — Directiva EU 2022/2555 · En vigor

Ciberseguridad NIS2 —
10 medidas, plazos 24/72h,
sin incumplimiento

RAG especializado en NIS2. Clasifica tu entidad, evalúa las 10 medidas del art. 21 y genera notificaciones a INCIBE y CCN-CERT. Responsabilidad directiva personal por incumplimiento.

Multa esenciales: €10M / 2%Multa importantes: €7M / 1,4%Responsabilidad directiva personal

Solicitar demo gratuita Ver cómo funciona

Transposición española en vigor · 10 medidas mínimas art. 21 obligatorias

€10M

Multa máx. entidades esenciales

24h

Plazo alerta temprana incidente

Medidas técnicas art. 21 obligatorias

Facturación global alternativa multa

Los retos de NIS2 para tu organización

NIS2 amplía el ámbito de NIS1 de 7 a 18 sectores. Miles de empresas que no sabían estar reguladas ahora tienen obligaciones de ciberseguridad bajo responsabilidad directiva personal.

Clasificación esencial/importante confusa

La distinción entre Anexo I (esencial) y Anexo II (importante) determina el nivel de multas y supervisión. Muchas entidades no saben en qué categoría están.

10 medidas del art. 21: ¿cuál implementar primero?

NIS2 exige 10 medidas técnicas y organizativas mínimas. Sin un gap analysis estructurado, no sabes cuáles tienes cubiertas y cuáles son urgentes.

Notificación en 24h/72h al INCIBE

Los plazos de notificación de incidentes significativos son estrictos y la información requerida en cada fase es diferente. Sin protocolo, el incumplimiento es casi inevitable.

Responsabilidad personal de directivos

El art. 20 NIS2 establece responsabilidad personal del órgano de dirección. En caso de incumplimiento grave, pueden ser suspendidos o inhabilitados.

Seguridad en la cadena de suministro

NIS2 exige evaluar la ciberseguridad de proveedores y subcontratistas críticos. Muchas organizaciones no tienen inventario ni evaluación de riesgos de terceros.

Formación directiva obligatoria

El art. 20.2 NIS2 exige que el órgano de dirección reciba formación periódica en ciberseguridad. Sin documentación del cumplimiento, hay riesgo de sanción.

IgeraRegTech NIS2 en acción

Entrenado con la Directiva EU 2022/2555, la transposición española, guías de INCIBE, CCN-CERT y ENISA.

Clasificador esencial/importante

Determina si tu organización está en Anexo I (esencial) o Anexo II (importante) de NIS2 y qué nivel de obligaciones y multas aplican.

Clasificación en < 10 min

Gap analysis 10 medidas art. 21

Evaluación estructurada de las 10 medidas técnicas y organizativas: políticas, gestión incidentes, continuidad, cadena suministro, cifrado, MFA y más.

Gap analysis completo en 1 día

Protocolo notificación 24h/72h

Plantillas de alerta temprana (24h) y notificación completa (72h) para incidentes significativos NIS2 hacia INCIBE y CCN-CERT.

100% campos obligatorios

Plan formación directiva art. 20

Programa de formación estructurado para el órgano de dirección. Módulos de concienciación y documentación del cumplimiento del art. 20.2.

Documentación auditable

Evaluación seguridad proveedores

Cuestionario y metodología para evaluar el nivel de ciberseguridad de proveedores y subcontratistas críticos según NIS2.

Cadena suministro cubierta

Monitor INCIBE y CCN-CERT

Información actualizada sobre circulares, guías y alertas de INCIBE y CCN-CERT relacionadas con la implementación NIS2 en España.

Actualización continua

Preguntas reales, artículos exactos

Así responde IgeraRegTech NIS2 con la Directiva como fuente de verdad

"¿Nuestra empresa de suministro eléctrico está clasificada como entidad esencial o importante bajo NIS2?"

→

Según el Anexo I de la Directiva NIS2 (EU 2022/2555), los operadores de sistemas de distribución eléctrica y las empresas de suministro eléctrico están clasificados como entidades esenciales en el sector de energía (Anexo I, punto 1). Esto implica: multa máxima de €10M o 2% de facturación global anual, supervisión ex-ante por las autoridades competentes, y cumplimiento completo de las 10 medidas del art. 21.

"¿Qué debemos notificar a INCIBE en las primeras 24 horas después de detectar un ciberataque?"

→

Art. 23.4(a) NIS2: La alerta temprana en 24 horas debe indicar: (1) si el incidente es significativo (supera los umbrales del art. 23.3), (2) si hay indicios de que es causado por un acto ilegal o malicioso, (3) si tiene potencial impacto transfronterizo. No se requiere análisis técnico completo. La alerta se envía a través del sistema designado por INCIBE. El análisis técnico preliminar se incluye en la notificación de 72 horas.

"¿Qué responsabilidad tienen exactamente los directivos de nuestra empresa si no cumplimos NIS2?"

→

Art. 20 NIS2: Los miembros del órgano de dirección son personalmente responsables de aprobar y supervisar la implementación de las medidas del art. 21. En caso de incumplimiento grave, las autoridades competentes pueden: (1) emitir una advertencia pública con el nombre del responsable, (2) exigir al órgano de dirección que presente un plan de cumplimiento, (3) suspender temporalmente al responsable del ejercicio de funciones directivas, (4) prohibirle ejercer funciones directivas en cualquier entidad NIS2. Esta responsabilidad no puede ser delegada ni exonerada por decisión societaria.

¿Hablamos sobre NIS2?

Cuéntanos tu sector y tamaño y te mostramos si eres esencial o importante y qué debes implementar.

Ciberseguridad NIS2 —10 medidas, plazos 24/72h,sin incumplimiento