Parte de nuestra serie Compliance & Regulation
Leer la guía completaRequisitos reglamentarios de ciberseguridad por región: un mapa de cumplimiento para empresas globales
Más de 70 países han promulgado o actualizado regulaciones de ciberseguridad desde 2023. El panorama regulatorio está evolucionando más rápido de lo que la mayoría de las empresas pueden seguir. Lo que hace dos años era una orientación voluntaria, ahora es una ley aplicable con sanciones importantes. Esta guía mapea los requisitos regulatorios de ciberseguridad en las principales regiones, ayudando a las empresas globales a comprender sus obligaciones y priorizar el cumplimiento.
Conclusiones clave
- NIS2 (UE) amplió las obligaciones de ciberseguridad a más de 160 000 organizaciones, con responsabilidad personal para la gestión
- Las reglas de divulgación de ciberseguridad de la SEC exigen que las empresas públicas de EE. UU. informen incidentes importantes dentro de los 4 días hábiles
- Las regulaciones de APAC varían ampliamente: Singapur y Australia están a la cabeza, mientras que otros todavía están desarrollando marcos.
- Un marco de seguridad unificado (ISO 27001 o NIST CSF) satisface entre el 60% y el 80% de los requisitos regionales a nivel mundial
Mapa regulatorio regional
Unión Europea
| Reglamento | Efectivo | Alcance | Requisitos clave | Penalizaciones |
|---|---|---|---|---|
| Directiva NIS2 | Octubre 2024 | Entidades esenciales e importantes (18 sectores) | Gestión de riesgos, informes de incidentes (24 h/72 h), seguridad de la cadena de suministro, responsabilidad de la gestión | 10 millones de euros o 2% de ingresos (esencial), 7 millones de euros o 1,4% (importante) |
| DORA | enero 2025 | Sector financiero (bancos, seguros, inversiones, proveedores de TIC) | Gestión de riesgos TIC, clasificación/notificación de incidentes, pruebas de resiliencia, riesgo de terceros | Proporcional al tamaño de la entidad |
| Ley de Resiliencia Cibernética | 2027 (por etapas) | Productos con elementos digitales | Seguro por diseño, manejo de vulnerabilidades, SBOM, marcado CE | 15 millones de euros o 2,5% de ingresos |
| GDPR (aspectos de seguridad) | 2018 | Cualquier organización que procese datos personales de la UE | "Medidas técnicas y organizativas adecuadas" | 20 millones de euros o 4% de ingresos |
La clave NIS2 cambia desde NIS1:
- Ampliado de ~10 000 a ~160 000 organizaciones
- Órganos directivos personalmente responsables del cumplimiento
- "Alerta temprana" obligatoria de 24 horas para incidentes importantes
- Requisitos de seguridad de la cadena de suministro.
- Sanciones mínimas de 10 millones de euros para entidades esenciales
Estados Unidos
| Reglamento | Efectivo | Alcance | Requisitos clave | Penalizaciones |
|---|---|---|---|---|
| Reglas de ciberseguridad de la SEC | diciembre 2023 | Empresas públicas estadounidenses | Divulgación de incidentes materiales (4 días hábiles), informe anual de gobernanza de riesgos | Acciones de cumplimiento de la SEC |
| Informes CISA (CIRCIA) | 2026 (propuesto) | Infraestructura crítica (16 sectores) | Informe de incidentes las 72 horas, informe de pagos de ransomware las 24 horas | Sanciones civiles |
| Ley de la FTC (Sección 5) | En curso | Empresas dedicadas al comercio | Prácticas de seguridad "razonables", aplicación de la ley por prácticas "desleales" | Varía (órdenes de consentimiento, multas) |
| Leyes estatales de privacidad (CA, CO, CT, VA, etc.) | Varios | Empresas que alcanzan los umbrales estatales | Prácticas de seguridad, notificación de violaciones (varía según el estado) | Ejecución de la AG estatal |
| Regla de seguridad HIPAA | 2005 (actualizado) | Entidades sanitarias y socios comerciales | Salvaguardias administrativas, físicas y técnicas para la PHI | Hasta 1,9 millones de dólares por categoría de infracción al año |
| Regla de Salvaguardias GLBA | Actualizado 2023 | Instituciones financieras | Evaluación de riesgos, controles de acceso, MFA, cifrado, respuesta a incidentes | Aplicación de la agencia federal |
Reino Unido
| Reglamento | Efectivo | Alcance | Requisitos clave | Penalizaciones |
|---|---|---|---|---|
| Regulaciones NIS del Reino Unido | 2018 (actualizado) | Servicios esenciales, servicios digitales | Gestión de riesgos, notificación de incidentes, cadena de suministro | 17 millones de libras esterlinas |
| RGPD del Reino Unido | 2021 | Organizaciones que procesan datos de residentes del Reino Unido | Medidas de seguridad, notificación de incumplimiento (72 h) | 17,5 millones de libras esterlinas o 4% de ingresos |
| Requisitos de la FCA | En curso | Empresas de servicios financieros | Resiliencia operativa, notificación de incidentes, riesgo de terceros | Aplicación de la FCA |
| Propuesta de ley de resiliencia y seguridad cibernética | 2025-2026 | Ampliado desde el alcance actual de NIS | Informes de incidentes mejorados y requisitos de la cadena de suministro | Por determinar |
Asia-Pacífico
| País | Reglamento | Requisitos clave | Penalizaciones |
|---|---|---|---|
| Singapur | Ley de Ciberseguridad de 2018 | Operadores de ICI: notificación de incidentes, auditorías, evaluaciones de riesgos | 100.000 SGD |
| Australia | Ley SOCI 2022 (modificada) | Infraestructura crítica: gestión de riesgos, notificación de incidentes (12-72 h) | Sanciones civiles |
| Japón | Ley de Seguridad Económica de 2022 | Infraestructura crítica: análisis de la cadena de suministro | Órdenes administrativas |
| Corea del Sur | Ley de Redes + PIPA | Notificación de violación de datos, medidas de seguridad | 50 millones de wones + 3% de ingresos |
| India | CERT-En Direcciones 2022 | Informe de incidentes en 6 horas, retención de registros (180 días) | Prisión + multas |
| China | CSL + DSL + PIPL | Infraestructura crítica: localización, revisiones de seguridad, notificación de incidentes | Hasta 5% de ingresos |
Medio Oriente y África
| País | Reglamento | Requisitos clave | Penalizaciones |
|---|---|---|---|
| Emiratos Árabes Unidos | Estándares NESA + PDPL | Infraestructura crítica: controles de seguridad, notificación de incidentes | Multas + revocación de licencia |
| Arabia Saudita | Marco NCA ECC | Gobierno/crítico: evaluaciones de cumplimiento, seguimiento | Cumplimiento regulatorio |
| Sudáfrica | POPÍA + ECTA | Medidas de seguridad, notificación de infracciones | 10 millones de ZAR o prisión |
| Kenia | Ley de Protección de Datos de 2019 | Medidas de seguridad, notificación de incumplimiento | KSh 5 millones o 1% de ingresos |
Creación de un marco de cumplimiento universal
Controles de mapa a regulaciones
En lugar de implementar controles separados para cada regulación, cree un marco unificado:
| Dominio de control | NIS2 | SEC | DORA | NEI del Reino Unido | CSA de Singapur |
|---|---|---|---|---|---|
| Evaluación de riesgos | Requerido | Requerido | Requerido | Requerido | Requerido |
| Plan de respuesta a incidentes | Requerido | Divulgado | Requerido | Requerido | Requerido |
| Notificación de incidentes | 24 horas/72 horas | 4 autobuses. días | Basado en clasificación | 72 horas | Requerido |
| Seguridad de la cadena de suministro | Requerido | Divulgado | Requerido | Requerido | Recomendado |
| MFA / control de acceso | Requerido | Recomendado | Requerido | Requerido | Requerido |
| Cifrado | Requerido | Recomendado | Requerido | Requerido | Requerido |
| Pruebas de penetración | Requerido | Recomendado | Requerido anualmente | Requerido | Requerido |
| Supervisión de la junta | Requerido (responsabilidad personal) | Requerido (divulgación) | Requerido | Recomendado | Recomendado |
| Capacitación en concientización sobre seguridad | Requerido | Recomendado | Requerido | Requerido | Requerido |
| Continuidad del negocio | Requerido | Divulgado | Requerido (pruebas de resiliencia) | Requerido | Requerido |
Marco base recomendado
Comience con NIST Cybersecurity Framework 2.0 o ISO 27001:2022 como base:
- NIST CSF 2.0: gratuito, flexible, ampliamente reconocido en EE. UU. e internacionalmente
- ISO 27001: Certificable, preferida en la UE y por clientes empresariales
Ambos marcos cubren los dominios de control básicos requeridos por la mayoría de las regulaciones. Agregue requisitos regulatorios específicos (cronogramas de informes, formatos de documentación) en la parte superior.
Comparación de informes de incidentes
| Jurisdicción | Fecha límite para presentar informes | Informar a | Contenido requerido |
|---|---|---|---|
| UE (NIS2) | Alerta temprana las 24 horas, 72 horas completas | CSIRT/autoridad nacional | Impacto, indicadores, impacto transfronterizo |
| UE (RGPD) | 72 horas (a la autoridad), "sin demoras indebidas" (a personas si hay alto riesgo) | Autoridad supervisora | Naturaleza, categorías, registros aproximados, consecuencias, medidas |
| UE (DORA) | Depende de la clasificación (de 1 hora a 1 mes) | Autoridad de supervisión financiera | Detalle basado en clasificación |
| Estados Unidos (SEC) | 4 días hábiles (incidencias materiales) | Presentación ante la SEC (8-K) | Naturaleza, alcance, calendario, impacto material |
| Estados Unidos (CISA) | Incidentes de 72 horas, ransomware de 24 horas | CISA | Detalles del incidente, impacto, indicadores |
| Reino Unido (NIS) | 72 horas | NCSC/autoridad pertinente | Evaluación de impacto, medidas adoptadas |
| India (CERT-In) | 6 horas | CERT-In | Tipo de incidente, sistemas afectados, impacto |
| Australia (SOCI) | 12 h (crítico), 72 h (significativo) | ACSC | Impacto, acciones de respuesta, indicadores |
| Singapur (CSA) | Plazo prescrito | CSA | Detalles del incidente, impacto, respuesta |
Priorización de cumplimiento
Para empresas que operan en varias regiones
- Implementar ISO 27001 o NIST CSF como base (satisface entre el 60% y el 80% de todos los requisitos)
- Mapear las brechas regulatorias para cada jurisdicción donde opera
- Priorizar según la gravedad de la sanción: las normas de la UE (NIS2/GDPR) y la SEC conllevan las sanciones más altas.
- Armonizar la presentación de informes: crear un proceso de notificación de incidentes que cumpla con el plazo más estricto (6 horas para la India) y adaptar los resultados para cada autoridad.
- Documente todo: la mayoría de las regulaciones requieren un cumplimiento demostrable, no solo la seguridad
Preguntas frecuentes
¿Se aplica NIS2 a nuestra empresa?
NIS2 se aplica si opera en la UE y pertenece a uno de los 18 sectores (energía, transporte, banca, atención médica, infraestructura digital, administración pública, espacio, correos, residuos, alimentos, manufactura, productos químicos, investigación y servicios de TIC). Las entidades esenciales son grandes empresas en sectores críticos. Las entidades importantes son las medianas empresas de esos sectores. El alcance ampliado capta muchas más empresas que NIS1. Incluso si usted no está directamente dentro del alcance, sus clientes pueden exigir el cumplimiento de NIS2 por parte de su cadena de suministro.
¿Cómo cumplimos con las regulaciones de ciberseguridad en varios países?
Cree un marco de seguridad unificado (ISO 27001 o NIST CSF) que cubra los requisitos comunes. Cree un documento de mapeo regulatorio que muestre qué controles marco satisfacen qué regulaciones. Para requisitos exclusivos de jurisdicciones específicas (cronogramas de informes, formatos de documentación), cree apéndices para su marco base. Esto es mucho más eficiente que crear programas de cumplimiento separados.
¿Existen requisitos de ciberseguridad específicos para los sistemas ERP?
No es específico de ERP, pero los sistemas ERP generalmente se incluyen en múltiples ámbitos regulatorios porque procesan datos financieros (SOX, DORA), datos personales (GDPR, NIS2) y, a menudo, se consideran sistemas comerciales críticos. Asegúrese de que su ERP tenga: control de acceso basado en roles, registro de auditoría, cifrado, parches regulares y procedimientos de respuesta a incidentes. ECOSIRE proporciona refuerzo de seguridad de Odoo que aborda estos requisitos.
¿Qué viene después?
El cumplimiento normativo de ciberseguridad es una dimensión de su programa de gobernanza. Combínelo con gobernanza de datos para regulaciones específicas de datos, privacidad de datos de los empleados para datos de la fuerza laboral e implementación del consentimiento de cookies para propiedades web.
Comuníquese con ECOSIRE para obtener consultoría sobre cumplimiento de seguridad cibernética en múltiples jurisdicciones.
Publicado por ECOSIRE: ayuda a las empresas a navegar por el panorama regulatorio global.
Escrito por
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
Haga crecer su negocio con ECOSIRE
Soluciones empresariales en ERP, comercio electrónico, inteligencia artificial, análisis y automatización.
Artículos relacionados
Ciberseguridad para el comercio electrónico: proteja su negocio en 2026
Guía completa de ciberseguridad de comercio electrónico para 2026. PCI DSS 4.0, configuración WAF, protección contra bots, prevención de fraude en pagos, encabezados de seguridad y respuesta a incidentes.
ERP para la industria química: seguridad, cumplimiento y procesamiento por lotes
Cómo los sistemas ERP gestionan los documentos SDS, el cumplimiento de REACH y GHS, el procesamiento por lotes, el control de calidad, el envío de materiales peligrosos y la gestión de fórmulas para empresas químicas.
ERP para comercio de importación/exportación: multidivisa, logística y cumplimiento
Cómo manejan los sistemas ERP cartas de crédito, documentación aduanera, incoterms, pérdidas y ganancias multidivisa, seguimiento de contenedores y cálculo de derechos para empresas comerciales.
Más de Compliance & Regulation
Ciberseguridad para el comercio electrónico: proteja su negocio en 2026
Guía completa de ciberseguridad de comercio electrónico para 2026. PCI DSS 4.0, configuración WAF, protección contra bots, prevención de fraude en pagos, encabezados de seguridad y respuesta a incidentes.
ERP para la industria química: seguridad, cumplimiento y procesamiento por lotes
Cómo los sistemas ERP gestionan los documentos SDS, el cumplimiento de REACH y GHS, el procesamiento por lotes, el control de calidad, el envío de materiales peligrosos y la gestión de fórmulas para empresas químicas.
ERP para comercio de importación/exportación: multidivisa, logística y cumplimiento
Cómo manejan los sistemas ERP cartas de crédito, documentación aduanera, incoterms, pérdidas y ganancias multidivisa, seguimiento de contenedores y cálculo de derechos para empresas comerciales.
Informes de sostenibilidad y ESG con ERP: Guía de cumplimiento 2026
Navegue por el cumplimiento de informes ESG en 2026 con sistemas ERP. Cubre CSRD, GRI, SASB, emisiones de alcance 1/2/3, seguimiento de carbono y sostenibilidad de Odoo.
Lista de verificación de preparación para la auditoría: Cómo preparar sus libros
Lista de verificación completa para la preparación de auditorías que cubre la preparación de los estados financieros, la documentación de respaldo, la documentación de controles internos, las listas de PBC de los auditores y los hallazgos comunes de las auditorías.
Guía australiana del GST para empresas de comercio electrónico
Guía completa del GST australiano para empresas de comercio electrónico que cubre el registro ATO, el umbral de $75 000, las importaciones de bajo valor, la presentación de BAS y el GST para servicios digitales.