Linkedin Youtube Instagram
Contacto

DORA, NIS2 y Data Act (DNA): lo que tienen que saber las pymes

Un equipo de profesionales en una oficina de planta abierta moderna, representando a una pyme española. Imagen de portada para el artículo sobre DORA, NIS2 y Data Act.
Índice de contenidos

Europa está redefiniendo su marco digital bajo tres pilares claros: resiliencia, control y soberanía. No se trata de una evolución incremental, sino de un cambio de paradigma que afecta directamente a cómo las empresas diseñan, operan y protegen su infraestructura tecnológica.

En este contexto, el reglamento DORA, la directiva NIS2 y el Data Act UE no son normas aisladas. Forman un sistema coherente que responde a una realidad cada vez más evidente: el riesgo ya no es solo técnico, es también jurisdiccional. La dependencia tecnológica y el control del dato han pasado a ser cuestiones estratégicas.

Pero el error más flagrante es pensar que esto afecta principalmente a grandes empresas. Spoiler: el verdadero impacto se produce en las pymes, especialmente aquellas que forman parte de cadenas de valor digitales.

Más allá del compliance: el verdadero alcance del reglamento DORA

El reglamento DORA (Digital Operational Resilience Act) nace con un objetivo claro: garantizar la resiliencia operativa digital del sector financiero en Europa. A primera vista, podría parecer que su impacto se limita a bancos, aseguradoras y entidades reguladas. Pero esa no es la foto completa.

En la práctica, esto cambia cómo una pyme tiene que operar con su stack tecnológico.

Lo que antes era una relación de confianza con proveedores —cloud, SaaS o integradores— pasa a convertirse en una relación que exige visibilidad y control real. No porque la pyme quiera, sino porque sus clientes se lo van a exigir.

Esto se traduce en decisiones muy concretas:

  • No puedes trabajar con un proveedor cuya arquitectura no entiendes.
  • No puedes depender de servicios donde no tienes claridad sobre acceso a datos.
  • No puedes escalar sobre infraestructuras que no puedes auditar mínimamente.

El problema no es técnico, es operativo.

Muchas pymes han construido su sistema sobre herramientas que funcionan, pero que no pueden explicar. Y ese gap empieza a ser crítico cuando un cliente —o un partner— traslada exigencias de cumplimiento.

A partir de aquí, aparecen nuevas fricciones:

  • Procesos comerciales que se bloquean por falta de información técnica.
  • Auditorías que no se pueden responder con claridad.
  • Dependencias tecnológicas que limitan la capacidad de adaptación.

Por eso, las preguntas relevantes ya no son teóricas, ahora son operativas:

  • ¿Puedes explicar con precisión dónde residen tus datos sin depender de tu proveedor?
  • ¿Sabes quién tiene acceso real a tu información y en qué condiciones?
  • ¿Tienes capacidad de cambiar de proveedor sin rediseñar tu negocio?

Si la respuesta a estas preguntas no es inmediata, el problema no es de compliance. Es de diseño de infraestructura.

NIS2: cuando la ciberseguridad deja de ser “cosa de IT”

La directiva NIS2 amplía radicalmente el alcance de la ciberseguridad en Europa. Pero, más allá de su alcance formal, introduce un cambio mucho más disruptivo para las pymes: redefine dónde está la responsabilidad.

Ya no es necesario ser una gran empresa para estar dentro del perímetro de NIS2. Basta con desempeñar un papel en el ecosistema de una organización considerada esencial o importante.

Para una pyme, esto se traduce en tres cambios clave:

  • La seguridad deja de ser técnica: no es solo firewalls o antivirus, también es gestión del riesgo, procesos y gobernanza.
  • La dirección pasa a estar implicada: la responsabilidad ya no recae únicamente en IT. La dirección también debe responder.
  • El nivel de exigencia sube estructuralmente: no se trata de una mejora progresiva. Es un umbral mínimo para poder operar con ciertos clientes.

En este marco legal, las sanciones, no son ninguna broma. NIS2 establece una estructura punitiva que obliga a tomarse en serio la gestión del riesgo. Pero más allá de las multas o el impacto económico, el verdadero choque está en la exigencia de madurez organizativa.

La seguridad deja de ser una opción o una mejora progresiva. Se convierte en un requisito estructural para operar dentro del mercado europeo.

Data Act: ser dueño de tus datos ya no es una opción

El Data Act introduce un elemento que hasta ahora había permanecido en segundo plano: el control efectivo sobre los datos.

Durante años, la adopción del cloud en las pymes se basó en la inmediatez, una lógica que ha terminado por generar una dependencia estructural crítica. Sin embargo, el nuevo marco legal europeo cambia las reglas:

  • El refuerzo del derecho a la portabilidad: facilita que los datos no queden confinados en silos tecnológicos.
  • La limitación de las barreras de salida: elimina esos obstáculos técnicos y económicos que, en la práctica, mantenían a las empresas «rehenes» de sus proveedores.
  • La obligación de replantear el control: obliga a las organizaciones a ser dueñas reales de la información que generan.

En este nuevo escenario, la ambigüedad estratégica ya no tiene cabida. No es aceptable desconocer si es posible migrar fuera de un proveedor o, lo que es más grave, ignorar quién tiene acceso real a la información de la empresa. La soberanía digital ha pasado de ser una opción a una exigencia operativa.

En definitiva, el problema nunca ha sido el cloud, sino el cloud sin control. El reto actual de la pyme no es solo estar en la nube, sino asegurar que sigue siendo la dueña absoluta de sus activos de datos.

Un sistema interconectado: resiliencia, seguridad y control

Analizar el reglamento DORA, la directiva NIS2 y el Data Act de forma independiente puede llevar a interpretaciones parciales. El verdadero valor aparece cuando se entiende como un conjunto. Para tener una mejor comprensión, es clave pensar en que:

  • DORA establece la necesidad de resiliencia operativa.
  • NIS2 define el marco de seguridad y gestión del riesgo.
  • El Data Act garantiza el control y la portabilidad del dato.

Juntas, estas tres piezas configuran un nuevo estándar para la infraestructura digital en Europa. No se trata de cumplir tres normativas distintas, sino de adoptar un modelo coherente de diseño tecnológico.

Este enfoque tiene implicaciones claras: la arquitectura IT deja de ser una cuestión puramente técnica y pasa a ser una decisión estratégica. En el entorno actual, ya no basta con que una solución simplemente funcione; para garantizar la competitividad y la seguridad de la pyme, la infraestructura debe ser auditable, controlable y estar estrictamente alineada con la regulación.

El factor que ignoran muchas pymes: la jurisdicción

Uno de los elementos más relevantes, y menos abordados en muchas estrategias tecnológicas, es el impacto de la geopolítica en la infraestructura digital. Muchas empresas europeas operan actualmente sobre hyperscalers estadounidenses.

Esto, en sí mismo, no es un problema técnico. Pero sí introduce una variable jurídica que no siempre se tiene en cuenta. La legislación estadounidense, como el Cloud Act, permite el acceso a datos por parte de las autoridades en determinadas circunstancias, incluso si esos datos están almacenados fuera de Estados Unidos. Esto no es una hipótesis, es una capacidad legal existente.

Frente a esto, el enfoque europeo pone el acento en la soberanía del dato y la protección regulatoria. No se trata de establecer una dicotomía simplista, sino de entender que existen modelos distintos con implicaciones diferentes. La elección de proveedor cloud deja de ser una decisión puramente tecnológica o económica. Pasa a ser una decisión de riesgo jurídico.

Y este cambio afecta directamente a empresas de todos los tamaños, especialmente a aquellas que operan en sectores regulados o forman parte de cadenas de suministro críticas.

Lo que cambia realmente para las pymes

Existe una percepción extendida de que estas normativas afectan principalmente a grandes corporaciones. Sin embargo, la realidad es distinta. Las pymes no quedan fuera del alcance de DORA, NIS2 o el Data Act UE.

Este tipo de negocios quedan integrados dentro de un sistema en el que el riesgo se distribuye a lo largo de toda la cadena de valor. Si una pyme trabaja con sectores como banca, industria, energía o administración pública, es muy probable que esté sujeta, directa o indirectamente, a estas exigencias.

Esto se traduce en cambios concretos como la necesidad de auditar proveedores tecnológicos, la revisión de arquitecturas cloud, la exigencia de trazabilidad sobre los datos y la incorporación de cláusulas claras de jurisdicción en contratos.

No se trata de una carga adicional, sino de una transformación en la forma de diseñar y operar la tecnología. Las pymes pasan de ser consumidores de servicios a ser parte activa en la gestión del riesgo digital.

El nuevo rol del canal IT

Este contexto redefine también el papel de integradores, MSPs y partners tecnológicos.

Hasta ahora, su función principal era implementar soluciones. A partir de este nuevo marco regulatorio, pasan a ser garantes de cumplimiento y diseño arquitectónico.

Esto abre una oportunidad clara para aquellos que entiendan la relación entre infraestructura, regulación y negocio. La demanda de arquitecturas soberanas, modelos híbridos y estrategias multi-cloud conscientes va a crecer de forma significativa.

Pero también introduce un riesgo: quienes sigan operando desde una lógica puramente técnica, sin incorporar el componente regulatorio, quedarán fuera del mercado enterprise. El conocimiento normativo deja de ser un valor añadido. Se convierte en un requisito.

Una pregunta que redefine la estrategia

El reglamento DORA, la directiva NIS2 y el Data Act UE no son simplemente nuevas obligaciones que añadir a la lista. Son señales de un cambio más profundo en cómo se entiende la infraestructura digital en Europa.

La cuestión ya no es si estas normativas aplican o no a una organización. Tampoco si se pueden abordar desde un enfoque de compliance mínimo. La pregunta relevante es otra: ¿Está tu arquitectura preparada para operar en un entorno donde la resiliencia, la seguridad y el control del dato son requisitos estructurales?

Imagen de Aire
Aire

Si te ha gustado, compártelo en redes sociales

Artículos relacionados

Categorías

¿Quieres recibir información comercial?

Síguenos en RRSS:

Linkedin Youtube Instagram

Joan Aniorte

CTO

Joan ve la tecnología como una palanca con la que accionar el acceso al conocimiento y posibilitar la comunicación entre personas en tiempo real. Desde sus inicios en Aire, cuando estaba en el último curso de universidad, se ha esforzado por superar los retos técnicos a los que se ha ido enfrentando, con la motivación de aprender y llegar al fondo de cada proyecto. Como CTO Staff, aplica esta experiencia, su visión, empuje y mimo por los detalles a distintas áreas de trabajo. Del proyecto destaca su vocación tecnológica y su equipo, por su calidad humana y su enfoque de resolución del problema.

Manuel Rivera

CHR & Integration Officer

Para Manuel Rivera la tecnología y las personas se relacionan íntimamente y las ve como motor de cambio. Su pasión por las telecomunicaciones le llevó a estudiar Ingeniería en esta área. Su carrera profesional se ha desarrollado tanto en posiciones de ingeniería, operaciones comerciales así como en Recursos Humanos, donde ha estado focalizado en la transformación de estructuras organizativas tecnológicas tanto en el mercado local como a nivel europeo. Aterriza en Aire como Director de Recursos Humanos y Transformación, para aportar su visión y experiencia a la hora de enfrentar los numerosos retos que tienen las organizaciones en un momento como el actual.

Rosa Ronda

CFO

Su trabajo en distintas posiciones en empresas tecnológicas la han llevado a estar siempre rodeada de ingenieros y a respirar ese ambiente techie en el día a día. Esa experiencia en el sector, junto con su conocimiento y una visión de la función financiera estratégica, es lo que aporta Rosa a Grupo Aire. Así como mejores prácticas y soporte a los accionistas y equipo directivo para la toma de decisiones. Todo ello con el objetivo de llevar a la compañía hacia las metas propuestas en el plan de negocio.

De Aire destaca su capacidad de innovación y desarrollo; el alto volumen de soluciones propias y lo arraigado que está el proyecto en el sector.

Zigor Gaubeca

CIO

A pesar de criarse en un pequeño pueblo con menor facilidades de acceso a la tecnología, para Zigor no fue una barrera el sumergirse en el sector tecnológico desde muy joven, comenzando después la carrera de Ingeniería Informática con la intención de seguir profundizando sobre todo lo que había ido aprendiendo de forma autodidacta a lo largo de los años.

Su sueño de dedicarse al mundo de la conectividad se hizo realidad al llegar a la compañía, donde sintió el proyecto como suyo desde el primer momento, compartiendo triunfos y aprendiendo de los fracasos.

Con un gran sentido de equipo, Zigor trabaja diariamente para ayudar en la toma de decisiones aportando su visión y experiencia, asumiendo todos los retos que pueda encontrar en el camino y manteniendo ese ADN de la compañía en el que la tecnología, el trabajo en equipo y la innovación son esenciales.

Santi Magazù

Director General

Santi Magazù tiene más de 20 años de experiencia en el sector de telecomunicaciones y de servicios TI, habiendo ocupado puestos directivos en multinacionales como Telefónica, donde desempeñó varios cargos, como director de ingeniería de servicios TI para España y director comercial de Cloud Computing para todo el Grupo. También ha trabajado como director de Marketing en el operador regional Grapes, y como CEO y COO en startups de tecnología, entre ellas en PlayGiga, la primera compañía adquirida por Facebook en España. Inició su carrera como consultor de estrategia en Monitor Co., actualmente parte de Deloitte.

En cuanto a su formación, es ingeniero industrial por el Politécnico de Milán y MBA por INSEAD (Francia).

En Aire es Director General.

Miguel Tecles

Consejero

Curiosidad y pasión por la tecnología son el motor imparable de una carrera profesional que empezó, nada menos que a los 4 años, arreglando el cable roto de una plancha que había dejado de funcionar. Desde ese precoz impulso, la biografía de Miguel Tecles está escrita con cables de colores, líneas de programación, ondas de radio, señales de internet cuando casi no existía, muchos voltios y algún calambre inesperado.

Hoy, con el cargo de consejero en Aire, Miguel Tecles es uno de sus principales pilares.

Nadie mejor que él personifica el compromiso de la compañía con sus clientes: llevar la tecnología siempre al siguiente nivel, haciendo lo que nadie hace, como nadie lo hace y llegando hasta donde nadie llega, para ofrecer servicios que generen valor para todos.

Raúl Aledo

Presidente

Apasionado de la tecnología y el funcionamiento interno de todo lo que le rodeaba desde muy temprana edad, Raúl empezó sus primeros pinitos en el mundo de la electrónica y la programación a los 14 años, cuando hizo su primer programa de facturación, contabilidad y gestión de almacén para la empresa familiar.

Con ello y la llegada de internet, comenzó su dedicación al mundo de las telecomunicaciones, estudiando Ingeniería Informática, donde conoció a su primer socio, Miguel Tecles, a través de lo que fue una de las primeras redes sociales, IRC. Tras más de dos años trabajando juntos y mejorando su know-how, conocieron a Emilio Gras, el tercer socio de la actual compañía, comenzando juntos en 1996 su primer proyecto de ServiHosting, e iniciando un camino que los llevaría hasta donde están hoy.

Raúl es pilar fundamental en Aire, no solo a través de su experiencia, sino a través de los valores que aporta e implementa en la compañía, como la visión de futuro, aceptando retos y alcanzando metas; su compromiso con cada detalle y el sentimiento de equipo, fomentándolo día a día.

Javier Polo

CEO

Con más de 20 años de trayectoria en los sectores de las telecomunicaciones y la tecnología, Javier tiene la firme convicción de que la tecnología debe resolver problemas reales y generar ventajas competitivas con resultados tangibles para el negocio.

Ha ocupado posiciones ejecutivas relevantes en compañías como Amena y Orange, donde lideró áreas de planificación estratégica, marketing y go-to-market. Fue CEO de PlayGiga, la primera startup tecnológica española adquirida por Meta (Facebook). Antes de incorporarse como CEO de Aire, dirigió el Grupo AIA, empresa especializada en inteligencia artificial, con foco en analítica avanzada y algoritmos predictivos.

Ha sido también consejero y asesor en múltiples compañías tecnológicas respaldadas por fondos de venture capital y private equity, en sectores como cloud, ciberseguridad y blockchain.

Previamente, desarrolló su carrera en el ámbito de la consultoría estratégica como Principal en Monitor Company, donde asesoró a grandes corporaciones en procesos de crecimiento, internacionalización y eficiencia operativa.

logo aire ventana azul
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.