Contactar

¿Qué estás buscando?

Algunos temas que podrían interesarte

Informe anual de SGSPróximos seminarios webOportunidades de empleo

Digital Trust: regulaciones clave para 2025 y 2026

Blog SGS EspañaJuly 29, 2025

En 2025, la seguridad de la información, la continuidad operativa, la calidad en la prestación de servicios y la gobernanza de tecnologías emergentes como la inteligencia artificial se consolidan como obligaciones normativas, tanto en Europa como en España.

Este nuevo escenario regulador redefine el modo en que las organizaciones deben abordar su cumplimiento y protección digital. Certificaciones, marcos legales y estándares internacionales se entrelazan en un entorno cada vez más exigente y complejo.

A continuación, analizamos las principales normativas y los retos que las organizaciones deberán gestionar para garantizar su sostenibilidad digital.

1. NIS2: de la ciberseguridad técnica a la gobernanza ejecutiva

La Directiva NIS2, actualmente en proceso de transposición en España, amplía de forma significativa el alcance de la regulación sobre ciberseguridad. A diferencia de su antecesora, no solo impone controles técnicos: traslada la responsabilidad del cumplimiento a los órganos de dirección, establece tiempos estrictos de notificación de incidentes y refuerza la vigilancia sobre la cadena de suministro. Las sanciones para entidades esenciales pueden alcanzar hasta €10 millones o el 2% de la facturación global

Su impacto se multiplica al incluir en su ámbito a empresas medianas y grandes de sectores esenciales como energía, sanidad, financiero, transporte, digital, gestión de residuos o alimentación, entre otros. En paralelo, introduce requisitos de evaluación continua de riesgos, formación del personal, protección frente a amenazas internas y colaboración obligatoria con autoridades nacionales y europeas.

El cumplimiento de NIS2 exige modelos de gestión vivos, integrados y auditables. Las organizaciones afectadas deberán establecer marcos de referencia sólidos, como ISO 27001 o ENS, para afrontar la supervisión y minimizar su exposición a sanciones.

2. ENS: seguridad de los sistemas que manejan información pública

El Esquema Nacional de Seguridad, renovado en 2022 mediante el Real Decreto 311/2022, sigue siendo la norma de referencia para garantizar la seguridad de los sistemas que manejan información pública. Sin embargo, su impacto trasciende el sector público: toda empresa que quiera prestar servicios a la Administración debe estar certificada en ENS.

Las nuevas exigencias del ENS refuerzan aspectos clave como la categorización de sistemas, la asignación de responsabilidades, los controles mínimos de seguridad y la trazabilidad de los procesos. El decreto exige garantizar confidencialidad, integridad, disponibilidad y autenticidad de la información. Para muchas organizaciones del sector TIC, cumplir con el ENS es la puerta de entrada a licitaciones estratégicas.

Desde SGS, observamos cómo la madurez en ENS no solo mejora la posición contractual, sino que actúa como acelerador en procesos de mejora interna y gestión del riesgo, al proporcionar una estructura clara y verificable de gobernanza.

Si quieres saber más sobre ENS puedes ampliar información en este artículo.

3. ISO 42001 y el inicio de la gobernanza certificable de la inteligencia artificial

La publicación de la norma ISO/IEC 42001 en diciembre de 2023 marca un punto de inflexión. Por primera vez, las organizaciones disponen de un sistema de gestión certificable para garantizar el uso ético, transparente y seguro de la inteligencia artificial.

Esta norma cubre aspectos como gobernanza organizativa de IA, gestión del ciclo de vida de sistemas automatizados, evaluación de riesgos algorítmicos, trazabilidad y justificación de decisiones o requisitos para gestión de proveedores y terceros en el ciclo de vida de la IA

Aunque aún en fase temprana de adopción, ISO 42001 se alinea con el AI Act europeo, cuyo impacto legal será relevante a partir de 2026. Las organizaciones que desarrollan o implementan sistemas de IA tienen ahora la oportunidad de adelantarse mediante modelos de gobernanza certificables, que mitiguen riesgos reputacionales y regulatorios.

4. Certificaciones integradas: 27001, 22301 y 20000-1 

El ecosistema normativo internacional ofrece herramientas complementarias que permiten gestionar la seguridad, la continuidad y la calidad desde una lógica integral. En 2025, estas tres normas son especialmente relevantes:

  • ISO 27001 (versión 2022): Introduce controles nuevos orientados a cloud, trabajo remoto y protección frente a ransomware. La fecha límite para la transición es octubre de 2025.
  • ISO 22301: Estándar clave para gestionar la continuidad del negocio frente a crisis, ciberataques o desastres operativos. Cada vez más valorada en auditorías regulatorias.
  • ISO 20000-1: Norma fundamental para la calidad de servicios TI, especialmente en empresas proveedoras de tecnología. Refuerza la estandarización y mejora de procesos.

Desde SGS, impulsamos enfoques de integración normativa, que permiten ganar eficiencia, reducir costes de auditoría y fortalecer los sistemas de gestión desde una lógica de mejora continua.

5. TISAX: requisito para operar en automoción europea

El estándar TISAX, impulsado por la industria automotriz alemana, se consolida como un pasaporte obligatorio para proveedores de servicios y componentes en Europa. Basado en los principios de ISO 27001, establece un modelo común de evaluación de seguridad de la información y permite compartir resultados de auditoría entre socios.

La exigencia de TISAX no se limita a grandes fabricantes: cada vez más empresas de la cadena de suministro exigen esta certificación a sus partners tecnológicos, ingenierías o consultoras especializadas. TISAX exige controles físicos, resiliencia operativa y gestión de acceso, no solo aspectos de información digital.

Frente a la complejidad del estándar, contar con una certificación bien implementada abre nuevas puertas de negocio en un sector extremadamente competitivo y regulado.

6. DORA: resiliencia digital obligatoria para el ecosistema financiero

La Digital Operational Resilience Act (DORA) entró en aplicación en enero de 2025. Este reglamento afecta a bancos, aseguradoras, gestoras, fintechs y proveedores tecnológicos críticos del sistema financiero europeo.

DORA exige un enfoque integral de la resiliencia digital, incluyendo gobernanza de TIC y gestión de riesgos operativos, pruebas periódicas de penetración (TLPT), monitorización de terceros y proveedores de servicios en la nube y planes detallados de continuidad y recuperación

A diferencia de otras normas, DORA no se basa en la voluntariedad: impone controles obligatorios y supervisión directa por parte de autoridades como el Banco Central Europeo o la EBA. Las entidades afectadas deberán demostrar capacidad técnica, trazabilidad y cumplimiento en tiempo real. Aunque DORA entró en vigor en enero de 2025, algunos estándares técnicos (RTS/ITS) aún están pendientes de adopción, lo que complica el cumplimiento total.

7. Lo que viene: AI Act y eIDAS 2

El marco regulatorio europeo sigue consolidándose con la entrada en vigor de dos normas que modificarán profundamente la gestión tecnológica en organizaciones públicas y privadas. 

  • AI Act: regulación europea sobre sistemas de inteligencia artificial. Introducirá obligaciones proporcionales al nivel de riesgo de cada sistema, desde transparencia hasta prohibiciones explícitas.
    En agosto de 2026, todas las exigencias aplicarán plenamente a los sistemas de alto riesgo. Esto impactará especialmente a desarrolladores y usuarios de IA en sectores como salud, transporte o servicios financieros, que deberán adaptar sus modelos, reforzar la trazabilidad y aplicar medidas de ciberseguridad y supervisión humana.
  • eIDAS 2: evolución del reglamento de identificación electrónica y mecanismo común para el almacenamiento y uso seguro de credenciales verificables en toda la UE. Establece la European Digital Identity Wallet y refuerza la interoperabilidad de los servicios de confianza digital.
    La implementación de eIDAS 2 exigirá a los proveedores cumplir con estándares como ISO 27001 o el ENS en el caso español, y garantizar la interoperabilidad con sistemas existentes. Además, en sectores como la banca o la salud, los sistemas de autenticación deberán alinearse tanto con los principios de transparencia y no discriminación del AI Act, como con los requisitos de seguridad y certificación de eIDAS 2.

La combinación de ambas normativas anticipa un cambio profundo en la forma en que se gestionan la identidad, la confianza y los sistemas automatizados dentro del ecosistema digital europeo. Las organizaciones deberán abordar este desafío mediante estrategias de cumplimiento integradas, alineadas con estándares técnicos reconocidos y preparadas para un entorno de supervisión más exigente y transversal. 

La vigilancia activa del desarrollo normativo será crítica en los próximos trimestres para ajustar estrategias y garantizar una respuesta ágil ante nuevas exigencias.

Claves para adaptarse a un nuevo entorno normativo

La transformación del panorama normativo europeo en materia de Digital Trust exige algo más que adecuación documental o proyectos reactivos. Las empresas que quieran seguir operando —y destacar— en entornos altamente regulados deberán adoptar modelos de gestión alineados con el riesgo, con visión transversal y foco en la mejora continua.

En SGS trabajamos con organizaciones de todos los tamaños y sectores para traducir las exigencias legales en sistemas de gestión eficaces, verificables y sostenibles. 

Para más información, por favor contactar:

Rafael Miranda SGS

Rafael Miranda

Digital Trust Certification Manager

Noticias relacionados

Ver todo las noticias
Chef Preparing Food
Noticias de negociosNovember 28, 2025

Auditorías De Seguridad Alimentaria Inclusivas: ¿Está Tu Negocio Realmente Preparado?

Auditorías de seguridad alimentaria. Garantiza la calidad, higiene y seguridad de los alimentos en tu restaurante, hotel o empresa de catering. Cumple con el Reglamento (CE) Nº 852/2004, el Codex Alimentarius y los planes APPCC para procesos de elaboración, limpieza y desinfección seguros y sostenibles.
Noticias de negociosNovember 17, 2025

Porcelanosa: sostenibilidad integrada en cada paso del proceso productivo

Porcelanosa es mucho más que un referente internacional en diseño e innovación: su compromiso con el medio ambiente está impregnado en toda su estrategia empresarial. Desde la implementación de certificaciones medioambientales como ISO 14001 e ISO 50001, hasta la gestión eficiente de residuos con la verificación “Residuo Cero” de SGS, la compañía transforma la sostenibilidad en acciones concretas dentro de sus fábricas y procesos productivos.
Sustainable Development Goal Concept
Noticias de negociosOctober 31, 2025

Claves Para Entender Qué Es La Huella De Carbono

La huella de carbono organizacional mide las emisiones totales de gases de efecto invernadero (GEI) asociadas a la actividad de una empresa o institución a lo largo de toda su cadena de valor. 
Energy LED light bulb
Noticias de negociosOctober 21, 2025

¿Qué son los CAEs y por qué son clave para el ahorro energético?

Cuando se habla de transición energética y sostenibilidad, los Certificados de Ahorro Energético (CAEs) son uno de los mecanismos más relevantes en el panorama actual. Los CAEs son documentos que acreditan la cantidad de energía que se ha dejado de consumir tras implementar una medida de eficiencia energética. Es decir, certifican de forma oficial el ahorro conseguido, convirtiéndose en una herramienta fundamental para avanzar hacia un modelo más sostenible.

Noticias y recursos

Ver todas
Ver todas

Contacta con nosotros

Enviar un mensaje
  • SGS - Spain - Madrid

Calle Trespaderne, 29, 3ª planta,

28042,

Madrid, Madrid, España