Todos los cambios normativos de 2026 y las oportunidades de negocio que dejarán al sector tecnológico

En los próximos meses, las empresas españolas se enfrentarán a un intenso ciclo regulatorio. Lo que hasta ahora eran obligaciones puntuales o parciales empieza a converger en un paquete amplio de normativas que entran en vigor, se transponen o alcanzan su última fase en 2026, desde la facturación y el control horario hasta la ciberseguridad, pasando por la inteligencia artificial y la gobernanza de datos. Se trata de un espectro variado de áreas de cumplimiento que obligará a muchas organizaciones a revisar sus procesos internos, su tecnología y sus políticas de gestión.

Este entorno normativo creciente no es ajeno a la preocupación del mundo empresarial. Según un reciente informe de la patronal europea BusinessEurope, más del 60% de las compañías de la UE considera que la regulación representa un obstáculo para la inversión; entre las pymes, un 55% sitúa la carga regulatoria y administrativa como su “mayor problema”.

Sin embargo, esa misma necesidad de adaptación puede transformarse en una ventana de oportunidad para el canal de distribución de TI, integradores y proveedores de soluciones de software. Las organizaciones obligadas a cumplir leyes y reglamentos necesitarán partners tecnológicos capaces de modernizar sus sistemas.

Así, 2026 se perfila no como un año más, sino como un punto de inflexión regulatorio que empujará a inversiones forzosas en tecnología. A continuación, repasamos la normativa más importante que llega, sus implicaciones prácticas y las oportunidades que puede proporcionar al canal de TI.

1.- Verifactu – Sistemas informáticos de facturación

Nuevo sistema normativo («Ley antifraude») que regula los requisitos que deben cumplir los Sistemas Informáticos de Facturación (SIF) en España. Su objetivo es garantizar que las facturas emitidas por empresas, autónomos o profesionales sean verificables; es decir, que el registro contable asociado sea íntegro, inalterable, trazable, seguro y conservado según criterios de la administración.

Fechas de entrada en vigor y plazos

• El calendario original fijaba la obligatoriedad a partir 2026. Sin embargo, el Gobierno ha aprobado recientemente un aplazamiento de un año, de tal forma que ahora queda así:
  • 1 de enero de 2027: obligación para empresas que tributan por Impuesto de Sociedades.
  • 1 de julio de 2027: obligación para autónomos y otros obligados tributarios.
• El cambio se articula vía real decreto-ley y responde a la presión de organizaciones empresariales y de autónomos, que alertaban del poco margen para adaptarse y del bajo grado de implantación.

¿A quién afecta?

• Todas las empresas y profesionales que emitan facturas y estén sujetos al Impuesto sobre Sociedades, IRPF por actividades económicas o Impuesto sobre la Renta de no Residentes con establecimiento permanente en España, salvo residentes en territorios forales (País Vasco y Navarra), que tienen regímenes distintos.
• Quedan fuera quienes no usen software de facturación; por ejemplo, quienes elaboren facturas manualmente, impriman recibos simples o facturen en papel sin un SIF.

Cambios que implica

• Sustituir los sistemas de facturación no compatibles por un software homologado que cumpla las especificaciones técnicas exigidas por la normativa.
• Que dicho software genere por cada factura un registro de facturación que sea íntegro, inalterable, accesible, legible, con trazabilidad y capaz de transmitirlo a la administración automáticamente.
• Emitir facturas con ciertos elementos obligatorios como código QR, metadatos normalizados y un registro en XML para trazabilidad.
• Si no optan por el envío automático a la administración (modalidad “No VeriFactu”), conservar internamente dichos registros con los requisitos de seguridad, firma electrónica, registro de eventos del sistema, etc.

Soluciones de TI necesarias

• Implantar o adaptar versiones que cumplan con los requisitos técnicos del reglamento para ERPs, sistemas de facturación, programas de gestión contable o de facturación.
• Desarrollar o usar soluciones certificadas con software adaptado y declaración responsable del fabricante o actualizaciones específicas.
• Implementar sistemas de envío automático a la administración o al menos de almacenamiento seguro y log de auditoría.
• Auditorías y servicios de cumplimiento fiscal/contable para asegurar que el sistema que se implante cumple con los requisitos normativos.

Oportunidades para el canal

El cambio de fechas altera el ritmo, pero no el destino final. Ese año extra hasta 2027 es, en realidad, una oportunidad para el canal en varios frentes:

• El retraso permite segmentar clientes, hacer campañas y planificar migraciones escalonadas en vez de urgentes a última hora.
• ISV y fabricantes pueden empaquetar versiones específicas certificadas para SIF/Verifactu. Por su parte, mayoristas e integradores podrán diseñar paquetes de “ERP + módulo Verifactu + servicio de puesta en marcha”.
• Ofrecer servicios gestionados a microempresas y autónomos (hosting, mantenimiento, backups, soporte, actualizaciones de normativa…).
• Verifactu no llegará solo. Se interrelacionará con la facturación electrónica de la Ley Crea y Crece. El canal puede vender proyectos integrales de “gestión y cumplimiento” en lugar de un simple cambio de programa de facturación.
• Los despachos fiscales y laborales necesitan entender bien la diferencia entre SIF, Verifactu y factura electrónica B2B. El canal puede ofrecerles formación, plantillas de procesos y soluciones paquetizadas para sus carteras de clientes.

2.- Ley Crea y Crece (Factura electrónica B2B)

La Ley Crea y Crece incluye, en su artículo 12, la obligación para empresarios y profesionales de expedir, remitir y recibir facturas electrónicas en sus relaciones comerciales con otros empresarios o profesionales; es decir, operaciones B2B. El objetivo es impulsar la digitalización del tejido empresarial, reducir la morosidad comercial, aumentar la transparencia y modernizar los procesos de facturación entre empresas.

Fechas de entrada en vigor y plazos

• La Ley ya está aprobada y en vigor desde 2022, pero la obligación efectiva general de facturación electrónica B2B depende de un desarrollo reglamentario que aún no ha sido aprobado en su versión final.
• Una vez aprobado ese reglamento, se aplicará un calendario escalonado según facturación:
• Las empresas o profesionales con facturación anual superior a 8 millones de euros tendrán la obligación de emitir facturas electrónicas en operaciones B2B un año después de la publicación del reglamento.
• El resto de empresas, pymes y autónomos con una facturación menor de 8 millones de euros tendrán la obligación dos años después de la publicación del reglamento.

¿A quién afecta?

• La factura electrónica obligatoria afecta a todos los empresarios y profesionales que realicen operaciones entre sí (B2B) en España; es decir, empresas, pymes, autónomos que vendan a otras empresas o profesionales.
• No se aplica a operaciones de empresa o profesional y consumidor final (B2C).

Cambios que implica

• Uso de plataformas o sistemas de facturación capaces de generar, enviar y recibir facturas electrónicas, con capacidades de interoperabilidad entre clientes/proveedores.
• Registro, envío y recepción de facturas con metadatos obligatorios (identificación de emisor, receptor, operación, datos fiscales, etc.) en estructura normalizada (como XML), según los estándares admitidos.
• Reporte de estados de factura, cuando sea necesario, como aceptada, pagada, rechazada…
• Cambio cultural y operativo al dejar atrás impresiones, PDFs, facturas manuales y otros formatos, y adoptar un flujo completamente digital y estructurado en el ámbito B2B.

Soluciones de TI necesarias

• Implantar o actualizar software de facturación, sistemas ERP o soluciones de gestión que soporten facturación electrónica B2B.
• Adoptar plataformas de intercambio electrónico de facturas compatibles con los estándares definidos por el reglamento.
• Integraciones con sistemas de contabilidad, contabilidad automática, tesorería y reporte.

Oportunidades para el canal

• Despliegue de software de facturación electrónica y ERP preparados para B2B, integración con sistemas contables y con las futuras pasarelas reguladas.
• Servicios gestionados de facturación en los que se puede ofrecer la factura electrónica como servicio, dirigido sobre todo a pymes y autónomos sin recursos internos de TI.
• Proyectos de automatización del ciclo de cobros y pagos, con integración de factura electrónica con bancos, gestión de morosidad, conciliación automática y reporte financiero.
• Consultoría y formación para ayudar a despachos, gestorías y pequeños negocios a elegir solución, migrar sus procesos y estandarizar sus flujos de facturación.

3.- Nuevo registro horario digital

La norma parte de la obligación existente de registro diario de la jornada laboral, establecida por el Real Decreto‑Ley 8/2019. Su reforma pretende desarrollar dicha obligación mediante un nuevo Real Decreto sobre registro horario digital, que impondrá un sistema de fichaje obligatorio digital, verificable, inalterable y con trazabilidad, sustituyendo cualquier método. El objetivo es reforzar el control del tiempo de trabajo, asegurar el registro real de jornada, las pausas, las horas extras, los descansos, etc. Es decir, adiós al registro horario en papel o en hojas de Excel, por ejemplo.

Fechas de entrada en vigor y plazos

• El nuevo decreto entró en trámite con carácter de urgencia a principios de octubre de 2025, tras el fracaso en el Congreso de la ley de reducción de jornada, que en uno de sus puntos contemplaba el registro horario digital.
• Aunque aún no se ha publicado en el BOE, la previsión general apunta a que será obligatorio a partir de principios de 2026. De hecho, su entrada en vigor podría producirse apenas 20 días después de su publicación oficial.

¿A quién afecta?

• Todas las empresas con plantilla asalariada, independientemente del tamaño o sector.
• Autónomos que tengan empleados a su cargo.
• Cualquier trabajador con jornada laboral sujeta a registro: presencial, teletrabajo, turnos, horarios flexibles, guardias, etc.

Cambios que implica

• Sustituir cualquier método de registro manual por un sistema digital de fichaje que garantice trazabilidad.
• Registrar no solo entrada y salida, sino también pausas, descansos, teletrabajo, guardias, horas extra, jornadas parciales o flexibles, con detalle diario.
• Garantizar que los registros sean accesibles en tiempo real para la inspección laboral, los empleados y sus representantes.
• Conservar los registros durante al menos cuatro años, de forma segura y conforme a la normativa de protección de datos.
• Establecer un protocolo interno para definir cómo se realiza el registro, quién tiene acceso, cómo se corrigen incidencias, cómo se integra con nóminas o contabilidad, etc.

Soluciones de TI necesarias

• Soluciones de fichaje digital, que pueden ser apps móviles, web o de escritorio; terminales de control horario; sistemas de biometría u otras opciones adaptadas a la normativa.
• Plataformas integradas de gestión de jornada con registro de entrada/salida, pausas, teletrabajo, horas extra, guardias, seguimiento histórico, generación de informes, etc.
• Servicios de hosting o cloud seguro con almacenamiento conforme a requisitos legales.
• Integración con nóminas, ERP y sistemas de recursos humanos para que el registro horario interoperable se conecte automáticamente con gestión de personal y contabilidad.

Oportunidades para el canal

• Venta e implantación de soluciones de fichaje digital, incluyendo software cloud de control horario, apps móviles, terminales físicos, soluciones específicas para teletrabajo…
• Integración con nómina, ERP y RRHH mediante proyectos para conectar el registro horario con los sistemas de nóminas, gestión de personal y planificación de turnos.
• Externalización del control horario como servicio gestionado recurrente para pymes.
• Paquetes sectoriales con soluciones adaptadas a sectores con casuísticas específicas (hostelería, retail, logística, sanidad, contact centers…), con plantillas y configuraciones predefinidas.

4.- Ley Europea de Inteligencia Artificial (EU AI Act)

Este es el primer marco normativo integral de la Unión Europea para regular el desarrollo, comercialización y uso de sistemas de inteligencia artificial (IA) en todos los Estados miembros. Quiere garantizar una IA segura, confiable y centrada en el ser humano, protegiendo los derechos fundamentales, la salud, la seguridad y la dignidad, en línea con los valores de la UE. Clasifica los sistemas de IA según el grado de riesgo y fija obligaciones proporcionales, de tal forma que cuanto más riesgo, más exigencias.

Fechas de entrada en vigor y plazos

El reglamento fue publicado en el Diario Oficial de la UE y entró en vigor el 1 de agosto de 2024. A partir de ahí se estableció una aplicación gradual:

• Desde 2 de febrero de 2025 entraron en vigor las prohibiciones de prácticas de IA inaceptables y obligaciones de alfabetización en IA.
• Desde 2 de agosto de 2025 se aplican las normas de gobernanza y las obligaciones para los modelos de IA de propósito general.
• El 2 de agosto de 2026 está prevista la aplicabilidad general del reglamento, incluyendo gran parte de las obligaciones para alto riesgo y uso profesional e industrial.
• Para ciertos sistemas de alto riesgo integrados en productos regulados, el periodo transitorio se extiende hasta 2 de agosto de 2027.

¿A quién afecta?

• Proveedores de sistemas de IA, especialmente cuando se trate de “IA de propósito general” (GPAI) o soluciones de alto riesgo.
• Empresas y organizaciones que integren IA en sus productos o servicios en sectores como salud, justicia, finanzas, infraestructuras críticas, recursos humanos, etc.
• Cualquier entidad (pública o privada) que use IA para toma de decisiones automatizadas, tratamiento de datos sensibles, IA generativa, etc.

Cambios que implica

• Evaluar qué sistemas de IA usan o desarrollan y clasificarlos según su nivel de riesgo (bajo, limitado, alto).
• Para sistemas de riesgo elevado, documentar y asegurar procesos de gestión de riesgos, implementar medidas técnicas de mitigación, asegurar trazabilidad, transparencia…
• Si se usan modelos GPAI, hay que cumplir obligaciones especiales de gobernanza, transparencia, licencias/derechos de autor, seguridad, registro y auditoría.
• En general, adaptar los procesos internos mediante políticas de uso, cumplimiento, documentación técnica, control de calidad, pruebas, mantenimiento…
• Revisar contratos, acuerdos de proveedor, responsabilidad legal y conformidad normativa en el uso de IA.

Soluciones de TI necesarias

• Diseño, desarrollo o adaptación de plataformas de “IA compliance-ready”: modelos generativos, mitigación de sesgos, registro de logs, control de versiones, documentación técnica…

Oportunidades para el canal

• Consultoría de “IA responsable” a través de la evaluación de casos de uso, clasificación por niveles de riesgo, recomendaciones técnicas y organizativas para cumplir con esta norma.
• Ofrecer soluciones de desarrollo, despliegue y monitorización de modelos de IA con registro de logs y controles de calidad incorporados.
• Verticalización de soluciones de cumplimiento IA mediante paquetes de IA específicos para sectores regulados (salud, finanzas, sector público, RRHH) ya alineados con los requisitos de la norma.
• Formación y acompañamiento desarrollando programas para directivos, TI y negocio sobre uso seguro de IA, gobernanza de modelos y adaptación de contratos con proveedores.

5.- Reglamento de Datos (Data Act)

El Reglamento (UE) 2023/2854 establece un marco común para el uso, acceso, portabilidad y compartición de datos procedentes de dispositivos conectados (IoT), servicios digitales y proveedores de cloud. Pretende impulsar un mercado europeo de datos más competitivo, evitar dependencias tecnológicas y facilitar que usuarios, empresas y administraciones puedan acceder, mover o reutilizar datos de forma segura y controlada.

Fechas de entrada en vigor y plazos

• El Data Act entró en vigor el 11 de enero de 2024.
• Su aplicación efectiva se fijó para el 12 de septiembre de 2025, fecha desde la que las empresas deben empezar a cumplir la mayor parte de las obligaciones.
• 2026 será el primer año completo bajo el nuevo marco, cuando se espera el grueso de los proyectos de adaptación, especialmente en IoT y cloud.

¿A quién afecta?

• Fabricantes de dispositivos conectados (IoT) como sensores, vehículos, equipos inteligentes, electrodomésticos, wearables, equipos médicos, etc.
• Desarrolladores de software asociado a estos dispositivos.
• Proveedores de servicios en la nube, centros de datos y plataformas PaaS/SaaS.
• Empresas y administraciones usuarias que generan o solicitan acceso a datos provenientes de dispositivos.
• Prestadores de servicios públicos que pueden requerir datos en situaciones de interés general (emergencias, planificación…).

Cambios que implica

1) Para fabricantes de dispositivos IoT y sus plataformas:

• Obligación de permitir a los usuarios acceder a los datos generados por el dispositivo, de manera inmediata, gratuita y en formato interoperable.
• Deberán habilitar la posibilidad de compartir esos datos con terceros autorizados por el usuario.
• Tendrán que revisar documentación técnica, APIs, políticas de seguridad y contratos de licencia.

2) Para proveedores cloud y entornos multicloud:

• Exigencia de facilitar la portabilidad entre plataformas cloud, con periodos transitorios para eliminar barreras técnicas y económicas.
• Limitación progresiva de tarifas por “salida de datos” para favorecer la movilidad hacia otros servicios.
• Requerimientos de interoperabilidad, transparencia contractual y continuidad operativa.

3) Para empresas usuarias:

• Posibilidad de solicitar datos a fabricantes y proveedores para mejorar procesos, análisis, mantenimiento predictivo o migrar a otros servicios.
• Necesidad de revisar contratos, procesos de gobernanza del dato y medidas de seguridad al recibir/compartir información de terceros.

4) Para administraciones públicas:

• Acceso legalmente reforzado a datos en situaciones excepcionales o de interés público, con obligaciones de conservación, seguridad y proporcionalidad.

Soluciones de TI necesarias

• Actualización de plataformas IoT para garantizar interoperabilidad, exportación de datos, APIs seguras y modelos de compartición.
• Servicios de integración multicloud y migración cloud.
• Adaptación de contratos tecnológicos y servicios jurídicos-técnicos asociados.
• Desarrollo de soluciones de gestión de consentimiento, control de acceso, auditoría y gobernanza del dato, imprescindibles para cumplir con el reglamento.
• Creación de catálogos y servicios de análisis para monetización de datos industriales, especialmente en sectores con IoT intensivo como fabricación, logística, energía, movilidad o smart cities.

Oportunidades para el canal

• Diseño e implantación de data lakes, API y arquitecturas que permitan a los clientes explotar los datos de sus dispositivos conectados conforme al Data Act.
• Proyectos de migración entre nubes, reducción de “vendor lock-in” y diseño de entornos híbridos compatibles con los nuevos requisitos de interoperabilidad.
• Creación de servicios y soluciones analíticas para que los clientes generen nuevos ingresos a partir de los datos de sus máquinas, flotas, sensores, etc.
• Consultoría e implantación de modelos de gobierno, control de accesos, auditoría y catalogación de datos ajustados al Data Act.

6.- Reglamento eIDAS2

El Reglamento (UE) 2024/1183, conocido como eIDAS2, actualiza el marco europeo de identificación electrónica y servicios de confianza (el eIDAS original de 2014). Su principal novedad es la creación de la Cartera Europea de Identidad Digital (European Digital Identity Wallet), una aplicación oficial que permitirá a cualquier ciudadano o empresa identificarse, firmar electrónicamente y compartir atributos en toda la UE. El objetivo final es garantizar una identidad digital interoperable en toda la Unión y facilitar transacciones seguras entre personas, empresas y administraciones.

Fechas de entrada en vigor y plazos

• El reglamento se publicó el 30 de abril de 2024 y entró en vigor a finales de mayo de 2024.
• El despliegue es gradual, con distintos actos de ejecución y estándares técnicos que se aplicarán entre 2026 y 2027.
• La Comisión Europea prevé que, a lo largo de 2026, los Estados miembros tengan ya carteras digitales operativas en fases piloto o preproducción, especialmente en sector público, banca, seguros, movilidad, educación y sanidad.

¿A quién afecta?

• Administraciones públicas, quienes deberán reconocer la identidad digital europea como medio válido de autenticación y acceso a trámites.
• Empresas privadas que prestan servicios de uso general (banca, seguros, transporte, telecomunicaciones, utilities, comercio digital…), quienes deberán aceptar la cartera como medio de identificación y firma.
• Proveedores de servicios de confianza, quienes deberán adaptarse a los nuevos requisitos para certificados remotos, servicios cualificados y validación.
• Fabricantes de software empresarial, integradores y desarrolladores que pongan en el mercado cualquier producto que incluya autenticación, firma o verificación de identidad.

Cambios que implica

• Habilitar el acceso mediante la Cartera Europea de Identidad Digital como sistema de autenticación fuerte.
• Asegurar que sus sistemas aceptan firma electrónica cualificada y sellos electrónicos en el nuevo formato.
• Revisar procesos de onboarding digital de clientes o ciudadanos, integrándolos con identidades y atributos verificados.
• Adecuar portales, apps y plataformas a los nuevos estándares técnicos de interoperabilidad, seguridad y verificación de atributos.

Soluciones de TI necesarias

a) Identidad y autenticación:

• Actualización de sistemas de login corporativos compatibles con la nueva cartera europea.
• Integración de la cartera digital en portales B2B/B2C y apps móviles.

b) Firma electrónica:

• Implantación o actualización de motores de firma avanzada y cualificada, con soporte para certificados en la nube.
• Modernización de flujos de firma y validación documental.

c) Integración y desarrollo:

• Servicios de integración con API europeas, nodos nacionales y prestadores de servicios de confianza.
• Adaptación de plataformas de onboarding con verificación de identidad, lectura de atributos y control de fraude.

d) Sector público y grandes empresas:

• Proyectos masivos de adecuación en administraciones autonómicas y locales: sedes electrónicas, licitación, tramitación y notificaciones.
• Adaptación en banca, seguros, movilidad, energía y telecomunicaciones.

e) Servicios gestionados:

• Externalización de servicios de firma, validación y sellado como servicios cloud gestionados.
• Auditorías y consultoría de cumplimiento eIDAS2.

Oportunidades para el canal

• Actualización de sistemas de autenticación y acceso con proyectos para integrar la Cartera Europea de Identidad Digital en portales, apps corporativas y servicios online.
• Renovación de plataformas de firma electrónica a través del despliegue o actualización de motores de certificación cualificada en la nube e integrados con procesos de negocio.
• Ofrecer soluciones y servicios para incorporar identidad y atributos verificados en los procesos de alta de clientes, ciudadanos o proveedores en banca, seguros, utilities, etc.
• Ofrecer firma, sellado, validación y preservación electrónica como servicios gestionados externalizados, con pago por uso y soporte técnico-jurídico.

7.- Directiva NIS2 / Ley Española de Ciberseguridad

NIS2 es la directiva europea que actualiza el marco de seguridad de redes e información iniciado por la antigua NIS (2016). Su objetivo es garantizar un nivel elevado común de ciberseguridad para sectores clave en la UE, mediante requisitos estrictos de gestión de riesgos, notificación de incidentes, gobernanza y protección de las cadenas críticas. La nueva versión amplía el alcance, pues introduce una clasificación más amplia de entidades sujetas y añade sectores hasta ahora no cubiertos como gestión de residuos, manufactura, alimentación, investigación y servicios digitales, entre otros.

Fechas de entrada en vigor y plazos

• La Directiva NIS2 se publicó oficialmente en diciembre de 2022 y entró en vigor el 16 de enero de 2023.
• El plazo legal para que los Estados miembros la traspusieran a su ordenamiento interno vencía el 17 de octubre de 2024.
• En España, la trasposición no estaba completada a finales de 2024. Aunque venció el plazo, el Gobierno aprobó en enero de 2025 un Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad para adaptarla.
• A día de hoy, la ley continúa en trámite parlamentario.
• Por tanto, 2026 se perfila como el año clave para que la mayoría de sus obligaciones empiecen a ser exigibles en España, tras la publicación oficial en el BOE.

¿A quién afecta?

• Entidades consideradas esenciales o importantes, que incluyen sectores estratégicos como energía, transporte, telecomunicaciones, sanidad, agua, infraestructuras críticas, servicios digitales, industria, manufactura, servicios de alimentación, residuos, investigación, etc.
• Proveedores de servicios gestionados, data centers, cloud providers, servicios de hosting y red, telecomunicaciones, operadores de infraestructuras, utilities, etc.; es decir, buena parte del canal tecnológico.
• También puede afectar a organizaciones de menor tamaño si su actividad entra dentro de los sectores regulados.

Cambios que implica

• Implantación de un enfoque de gestión de riesgos de ciberseguridad, entendiendo los activos críticos, amenazas, vulnerabilidades, y adoptando medidas proporcionales de seguridad.
• Establecimiento de gobernanza interna. La responsabilidad recae en la dirección de la compañía; debe existir un responsable de seguridad de la información, políticas, procedimientos y evaluación continua.
• Obligación de notificación de incidentes de ciberseguridad a las autoridades competentes, con plazos definidos.
• La seguridad no solo debe aplicarse internamente, sino también en los proveedores de servicios críticos, cloud, mantenimiento, etc.
• Implementación de medidas técnicas y operativas como segmentación de redes, cifrado, control de accesos, monitorización, continuidad de negocio, planes de recuperación ante incidentes, auditorías periódicas…

Soluciones de TI necesarias

• Implementación de soluciones de seguridad gestionada con monitorización 24/7, respuesta a incidentes, detección de anomalías y análisis de logs.
• Servicios de seguridad en la cadena de suministro, evaluación y certificación de proveedores y auditorías periódicas.
• Integración e implantación de soluciones técnicas como firewalls, segmentación de red, sistemas de control de acceso, cifrado, autenticación multifactor…
• Diseño e implementación de infraestructuras robustas y cumplimiento: data centers, cloud, redundancia, planes de continuidad, auditoría interna…
• Servicios gestionados orientados a cumplimiento: outsourcing de seguridad, gestión proactiva, mantenimiento, respuesta a incidentes…

Oportunidades para el canal

• Ofrecer auditorías y planes directores de ciberseguridad con diagnósticos de madurez, análisis de riesgo, hojas de ruta y diseño de medidas técnicas y organizativas alineadas con NIS2.
• Operación de centros de monitorización, detección y respuesta a incidentes de seguridad como servicio recurrente, especialmente para entidades esenciales e importantes.
• Refuerzo de infraestructuras críticas y cloud con proyectos de segmentación, backup y continuidad de negocio en sectores regulados.
• Soluciones y servicios para evaluar, monitorizar y certificar la seguridad de proveedores tecnológicos y de la cadena de suministro.

8.- Ley de Ciberresiliencia (Cyber Resilience Act)

La Cyber Resilience Act (CRA) establece por primera vez en la UE requisitos de ciberseguridad obligatorios para todos los productos con elementos digitales, ya sean hardware o software. Afecta al ciclo de vida completo: diseño, desarrollo, producción, entrega, mantenimiento, actualizaciones de seguridad y soporte. Introduce obligaciones para fabricantes, importadores y distribuidores, que deben garantizar que los productos cumplen con requisitos mínimos de ciberseguridad antes de comercializarse en la Unión.

Fechas de entrada en vigor y plazos

El CRA entró en vigor el 10 de diciembre de 2024, pero su aplicación es escalonada:

• Desde el 11 de junio de 2026 entra en vigor lo relativo a la notificación de los organismos de evaluación de la conformidad.
• Desde el 11 septiembre de 2026 entra en vigor lo relativo a las obligaciones de información de los fabricantes.
• Desde el 11 de diciembre de 2027 se aplicarán las principales obligaciones de la ley.

¿A quién afecta?

• Fabricantes de hardware y software: PC, móviles, routers, cámaras, dispositivos IoT, electrodomésticos conectados, sistemas industriales, herramientas de desarrollo, software de gestión, apps móviles, etc.
• Distribuidores y comerciantes: incluidos mayoristas TI y retailers que pongan productos en el mercado europeo.
• Importadores de dispositivos y software no fabricados en la UE.
• Desarrolladores de software cuyo producto se distribuya comercialmente, incluido software embebido y firmware.
• Administraciones y empresas usuarias que deban gestionar productos ya comercializados bajo las nuevas reglas de vulnerabilidades y mantenimiento.

Cambios que implica

• Diseño seguro por defecto y desde el origen (“secure-by-design”).
• Gestión activa de vulnerabilidades, con obligación de corregir fallos y lanzar actualizaciones de seguridad durante todo el ciclo de vida.
• Procesos formales de evaluación de riesgos, documentación técnica y gestión de incidentes.
• Información a los usuarios sobre soporte, actualizaciones y requisitos de seguridad del producto.
• Notificación de incidentes y vulnerabilidades a ENISA y autoridades nacionales en plazos breves.
• Marcado CE de ciberseguridad, que certifica la conformidad del producto.

Soluciones de TI necesarias

• Para fabricantes, ISV y desarrolladores
• Rediseño de productos y firmware para incorporar seguridad desde el diseño.
• Integración de procesos de gestión de vulnerabilidades y análisis continuo.
• Servicios de certificación, pruebas de penetración y validación del cumplimiento CRA.
• Para mayoristas y distribuidores
• Revisión del catálogo de productos para verificar conformidad.
• Demanda de nuevos productos certificados con marcado CE de ciberseguridad.
• Formación a partners sobre requerimientos, documentación y riesgos de comercializar productos no conformes.
• Para integradores
• Servicios de inventario de activos digitales y evaluación de conformidad CRA en clientes.
• Gestión de parches y actualizaciones como servicio, especialmente en IoT, industria y redes empresariales.
• Integración de CRA con marcos NIS2, DORA y planes de continuidad.
• Diseño de arquitecturas seguras: segmentación, control de acceso, monitorización, confianza cero, etc.
• Para clientes finales
• Sustitución progresiva de equipos y software obsoleto o no conformes.
• Demandas de transparencia y garantías sobre soporte y actualizaciones.

Oportunidades para el canal

Gestión de vulnerabilidades como servicio con escaneos periódicos, priorización de riesgos, orquestación de parches y reporte a clientes que quieran demostrar conformidad con CRA, NIS2 y otros marcos normativos.

Asesoramiento a fabricantes y distribuidores para adaptar o sustituir productos no conformes, priorizando hardware y software certificado CRA.

Acompañamiento en diseño “secure-by-design”, gestión de vulnerabilidades, actualizaciones de seguridad y preparación de documentación para el marcado CE de ciberseguridad.

Sustitución gradual de dispositivos e IoT inseguros por productos conformes, combinando venta de hardware/software con servicios de despliegue y configuración segura.