¿Está su empresa preparada para la oleada normativa de 2026 y los años venideros?
En el espacio de dos años, el panorama normativo europeo ha experimentado una transformación sin precedentes. El RGPD, eIDAS 2.0, DORA, NIS2, la Ley de IA, la AMLR: ¡tantos textos que rediseñan considerablemente los contornos del cumplimiento normativo para las empresas en 2026, pero también para los años venideros!
Los calendarios se solapan, las obligaciones aumentan y ahora afectan a múltiples funciones dentro de las empresas.
Ante esta inflación normativa, los responsables de la toma de decisiones se encuentran en la misma situación: saben que deben aplicar estas normativas, pero les cuesta identificar qué es urgente, qué puede esperar y, sobre todo, qué implica esto concretamente para su organización. No es una cuestión de competencia. Es una cuestión de volumen de normativas y de complejidad.
El objetivo de este artículo es descifrar las normativas vigentes y futuras. Para cada texto clave, una explicación clara, una fecha y un impacto concreto en el negocio.
El cumplimiento normativo es hoy en día un tema de la dirección ejecutiva.
En dos años, la normativa ha evolucionado y la inflación no ha hecho más que empezar
Para comprender el alcance de la aceleración normativa, es imprescindible situar el contexto. La Unión Europea ha optado por una regulación estricta para garantizar su soberanía digital. Estas normativas no solo pretenden regular las tecnologías: su objetivo es construir una verdadera infraestructura de confianza digital en Europa, basada en la protección de datos, la seguridad de las transacciones digitales, la interoperabilidad de los servicios y la resiliencia de las infraestructuras críticas.
El resultado: una aceleración normativa que obliga a las empresas a cambiar sus procesos, su visión y su modo de funcionamiento interno. Aquellas que siguen tratando el cumplimiento normativo como un proyecto puntual o incluso reactivo, gestionado de forma aislada entre los equipos jurídicos, de TI y de negocio, se encuentran estructuralmente rezagadas. Y este retraso sale caro: según el Ponemon Institute, el incumplimiento cuesta de media 2,71 veces más que el cumplimiento, es decir, 14,82 millones de dólares frente a 5,47 millones de media al año.
Estas son las cuatro normativas que estructuran las obligaciones de las empresas europeas hasta 2027 y más allá:
| Normativa | Entrada en vigor | Objetivos | Impacto para las empresas |
| DORA | 17 de enero de 2025 | Garantizar la resiliencia digital del sector financiero | Control de riesgos de TI, pruebas de resiliencia y supervisión de los proveedores tecnológicos |
| Ley de IA | En vigor en agosto de 2024 / Aplicación progresiva 2025-2027 | Regular los usos de la inteligencia artificial | Clasificación de los sistemas de IA según su nivel de riesgo, obligaciones de transparencia y supervisión humana |
| eIDAS 2.0 | En vigor en mayo de 2024 / Cartera de identidad digital de la UE a finales de 2026 | Crear una identidad digital europea interoperable | Implantación de una «Billetera de identidad digital de la UE» y nuevos requisitos para los servicios de confianza |
| AMLR / AMLD6 | Aprobadas en mayo de 2024 / Obligaciones aplicables a partir de julio de 2027 | Reforzar la lucha contra el blanqueo de capitales y el fraude | KYC reforzado, supervisión continua de los clientes y automatización de los controles |
Qué cambia cada normativa para las empresas
eIDAS 2.0: hacia una identidad digital europea interoperable
eIDAS 2.0 no se limita a una actualización técnica. Crea una nueva arquitectura de confianza digital en Europa, con la medida estrella del despliegue de una cartera de identidad digital europea, la «EU Digital Identity Wallet», de aquí a finales de 2026.
Para las empresas, esto supone nuevos requisitos para los servicios de confianza y los proveedores de firma electrónica conforme. Solo los proveedores cualificados (QTSP), certificados según la legislación europea y auditados conforme a las normas eIDAS, garantizan la plena validez jurídica de las firmas digitales y de las pruebas presentadas. Ya no es una opción: es un requisito previo para acceder al mercado.
Pero el impacto va mucho más allá de la firma. eIDAS 2.0 redefine en profundidad los requisitos en materia de verificación de identidad y de recorridos digitales. Las organizaciones deberán ser capaces de aceptar y verificar identidades digitales certificadas a escala europea, lo que hará que sus procesos de incorporación sean más fiables, más rápidos y plenamente interoperables de un Estado miembro a otro. Para las empresas que operan en varios países europeos, se trata de un cambio estructural importante: los recorridos de los clientes pueden estandarizarse, los controles documentales automatizarse y las relaciones establecerse de forma segura sin fricciones adicionales. El cumplimiento normativo se convierte así en un acelerador de la experiencia, y ya no en un freno.
DORA: la resiliencia digital se convierte en una obligación legal
La DORA (Ley de Resiliencia Operativa Digital), que entró en vigor el 17 de enero de 2025, afecta a los actores del sector financiero. El objetivo es claro: garantizar que las organizaciones financieras puedan mantener sus operaciones críticas en caso de perturbaciones informáticas, ya sean de origen interno o estén relacionadas con sus proveedores tecnológicos. En la práctica, la DORA impone un control reforzado de los riesgos informáticos, pruebas de resiliencia periódicas y una supervisión activa de los proveedores externos. Los directivos asumen su responsabilidad personal en caso de fallo. Ya no se trata de una restricción informática: es un reto de gobernanza al más alto nivel.
AI Act: regular la IA o asumir el riesgo de la exposición
La Ley de IA entró en vigor en agosto de 2024, con una aplicación progresiva hasta 2027. Su principio fundamental: clasificar los sistemas de IA según su nivel de riesgo. Lo que muchos aún desconocen: las tecnologías de verificación de identidad, de puntuación de riesgo y de análisis documental se ven directamente afectadas. Clasificadas como de alto riesgo, deben cumplir cuatro requisitos innegociables:
- Transparencia algorítmica: las decisiones deben ser explicables y estar documentadas
- Supervisión humana: se requiere un control humano para cualquier decisión automatizada de alto riesgo
- Control de sesgos: los algoritmos deben verificarse para evitar cualquier discriminación
- Trazabilidad completa: los datos, los modelos y las decisiones deben ser auditables en todo momento
Las organizaciones que utilizan estas herramientas, en particular para el onboarding digital o el KYC (control documental), deben estructurar su gobernanza de la IA en consecuencia.
AMLR / AMLD6: el KYC se refuerza y se automatiza
Adoptadas en mayo de 2024 y aplicables a partir de julio de 2027, las nuevas directivas contra el blanqueo de capitales imponen un KYC (control documental/de datos) reforzado, una supervisión continua de los clientes a lo largo de toda la relación y una mayor automatización de los controles. El plazo puede parecer largo, pero las organizaciones que han esperado hasta 2026 para iniciar su proceso de cumplimiento ya han acumulado un retraso difícil de recuperar.
El cumplimiento normativo: un tema de pleno derecho en el Comité Ejecutivo
El cumplimiento normativo ya no es una función de apoyo limitada al departamento jurídico o de TI. Se está convirtiendo en un tema estratégico a nivel del comité ejecutivo por tres razones principales.
La primera: una mayor responsabilidad personal de los directivos. Varias normativas, entre ellas NIS2, DORA y la Ley de IA, refuerzan de manera muy concreta la responsabilidad de los órganos de dirección en caso de incumplimiento. Ya no se trata de una responsabilidad colectiva y abstracta: es una exposición personal de los directivos.
La segunda: un impacto directo en el modelo económico. El acceso al mercado europeo depende ahora de la capacidad de demostrar el cumplimiento normativo. En sectores altamente regulados como los servicios financieros, los seguros, la sanidad, la energía o las telecomunicaciones, demostrar el cumplimiento normativo se ha convertido en un criterio determinante a la hora de elegir un proveedor.
La tercera: un riesgo sistémico en caso de incumplimiento. Las sanciones económicas, el daño a la reputación y las interrupciones de la actividad pueden afectar de forma duradera a la empresa y a sus resultados financieros.
La pregunta que hay que plantearse hoy es la siguiente: «¿Está nuestra organización estructurada para integrar el cumplimiento normativo como una palanca de rendimiento y resiliencia?».
Dos posturas ante la aceleración normativa
Dado el contexto, las organizaciones pueden elegir entre dos estrategias. La elección de una u otra tiene consecuencias muy concretas sobre su competitividad a medio plazo.
La primera postura es reactiva: abordar el cumplimiento normativo sobre la marcha, considerarlo un centro de costes y gestionarlo de forma aislada entre los equipos jurídicos, de TI y de negocio. Este enfoque suele implicar retrasos en los plazos reglamentarios, lanzamientos urgentes de proyectos de corrección, con costes elevados y riesgos operativos importantes.
La segunda postura es la del «Compliance by Design»: se trata de integrar el cumplimiento normativo desde el diseño de los procesos de negocio, las arquitecturas de TI y los recorridos de los clientes, en lugar de añadirlo a posteriori. Las empresas que adoptan este enfoque ganan en eficiencia y agilidad, reducen sus costes de cumplimiento normativo y refuerzan la confianza de sus socios, clientes y también de los reguladores. Se anticipan a los cambios normativos allí donde sus competidores se limitan a reaccionar.
Esta distinción no es teórica. Las instituciones que adoptan tecnologías de automatización (RegTech) pueden reducir sus costes operativos de cumplimiento normativo entre un 20 % y un 40 %, según varios análisis sectoriales (LexisNexis Risk Solutions, True Cost of Financial Crime Compliance Report 2023).
Los tres errores que no hay que cometer a la hora de anticiparse a la normativa
Tratar cada normativa de forma aislada. Es el reflejo más habitual y el más costoso. Un proyecto eIDAS dirigido por el departamento de TI, una iniciativa DORA impulsada por el responsable de seguridad de la información, un eje de la Ley de IA gestionado por el departamento jurídico: el resultado es una acumulación de redundancias, de puntos ciegos y una factura final mucho más elevada que la de un enfoque integrado. Estos textos comparten los mismos requisitos fundamentales : trazabilidad, auditabilidad, soberanía de los datos y merecen ser tratados de manera coherente.
Esperar a recibir el requerimiento. Las organizaciones que lanzan proyectos de cumplimiento bajo la presión de una auditoría o una notificación reglamentaria pagan varias veces: elevados costes de corrección, importantes riesgos operativos y una credibilidad mermada ante los reguladores. Anticiparse es una necesidad estratégica.
Confiar los datos a un proveedor fuera de la jurisdicción europea. La Ley Cloud estadounidense de 2018 permite a las autoridades estadounidenses acceder a los datos de las empresas bajo su jurisdicción, incluso si están almacenados en Europa. La ubicación de un centro de datos ya no garantiza el control de los datos: lo que cuenta es la jurisdicción del proveedor. En un contexto en el que eIDAS 2.0 y el RGPD refuerzan los requisitos de soberanía, trabajar con un proveedor no certificado según la legislación europea (en particular sus soluciones) supone una exposición regulatoria y geopolítica importante.
Pero, en la práctica, ¿en qué situación se encuentra su organización?
La verdadera pregunta que deben plantearse hoy los responsables de la toma de decisiones no es «¿cumplimos con la normativa?», sino «¿estamos estructurados para absorber la inflación normativa en curso?».
Las organizaciones europeas cuentan con una ventaja que muchos aún subestiman. El marco normativo europeo no es una carga administrativa. Es un potente estándar de confianza digital, que se está convirtiendo en un criterio de selección determinante en las relaciones comerciales internacionales. Las organizaciones que lo integran como un activo estratégico, en lugar de como un centro de costes, adquieren una ventaja estructural y duradera sobre sus competidores.
Para profundizar en el tema, descargue el libro blanco «Repensar la confianza digital» y evalúe el nivel de madurez de su organización gracias al Compliance Maturity Framework.
