Parte de nuestra serie Compliance & Regulation
Leer la guía completaRequisitos reglamentarios de ciberseguridad por región: un mapa de cumplimiento para empresas globales
Más de 70 países han promulgado o actualizado regulaciones de ciberseguridad desde 2023. El panorama regulatorio está evolucionando más rápido de lo que la mayoría de las empresas pueden seguir. Lo que hace dos años era una orientación voluntaria, ahora es una ley aplicable con sanciones importantes. Esta guía mapea los requisitos regulatorios de ciberseguridad en las principales regiones, ayudando a las empresas globales a comprender sus obligaciones y priorizar el cumplimiento.
Conclusiones clave
- NIS2 (UE) amplió las obligaciones de ciberseguridad a más de 160 000 organizaciones, con responsabilidad personal para la gestión
- Las reglas de divulgación de ciberseguridad de la SEC exigen que las empresas públicas de EE. UU. informen incidentes importantes dentro de los 4 días hábiles
- Las regulaciones de APAC varían ampliamente: Singapur y Australia están a la cabeza, mientras que otros todavía están desarrollando marcos.
- Un marco de seguridad unificado (ISO 27001 o NIST CSF) satisface entre el 60% y el 80% de los requisitos regionales a nivel mundial
Mapa regulatorio regional
Unión Europea
| Reglamento | Efectivo | Alcance | Requisitos clave | Penalizaciones |
|---|---|---|---|---|
| Directiva NIS2 | Octubre 2024 | Entidades esenciales e importantes (18 sectores) | Gestión de riesgos, informes de incidentes (24 h/72 h), seguridad de la cadena de suministro, responsabilidad de la gestión | 10 millones de euros o 2% de ingresos (esencial), 7 millones de euros o 1,4% (importante) |
| DORA | enero 2025 | Sector financiero (bancos, seguros, inversiones, proveedores de TIC) | Gestión de riesgos TIC, clasificación/notificación de incidentes, pruebas de resiliencia, riesgo de terceros | Proporcional al tamaño de la entidad |
| Ley de Resiliencia Cibernética | 2027 (por etapas) | Productos con elementos digitales | Seguro por diseño, manejo de vulnerabilidades, SBOM, marcado CE | 15 millones de euros o 2,5% de ingresos |
| GDPR (aspectos de seguridad) | 2018 | Cualquier organización que procese datos personales de la UE | "Medidas técnicas y organizativas adecuadas" | 20 millones de euros o 4% de ingresos |
La clave NIS2 cambia desde NIS1:
- Ampliado de ~10 000 a ~160 000 organizaciones
- Órganos directivos personalmente responsables del cumplimiento
- "Alerta temprana" obligatoria de 24 horas para incidentes importantes
- Requisitos de seguridad de la cadena de suministro.
- Sanciones mínimas de 10 millones de euros para entidades esenciales
Estados Unidos
| Reglamento | Efectivo | Alcance | Requisitos clave | Penalizaciones |
|---|---|---|---|---|
| Reglas de ciberseguridad de la SEC | diciembre 2023 | Empresas públicas estadounidenses | Divulgación de incidentes materiales (4 días hábiles), informe anual de gobernanza de riesgos | Acciones de cumplimiento de la SEC |
| Informes CISA (CIRCIA) | 2026 (propuesto) | Infraestructura crítica (16 sectores) | Informe de incidentes las 72 horas, informe de pagos de ransomware las 24 horas | Sanciones civiles |
| Ley de la FTC (Sección 5) | En curso | Empresas dedicadas al comercio | Prácticas de seguridad "razonables", aplicación de la ley por prácticas "desleales" | Varía (órdenes de consentimiento, multas) |
| Leyes estatales de privacidad (CA, CO, CT, VA, etc.) | Varios | Empresas que alcanzan los umbrales estatales | Prácticas de seguridad, notificación de violaciones (varía según el estado) | Ejecución de la AG estatal |
| Regla de seguridad HIPAA | 2005 (actualizado) | Entidades sanitarias y socios comerciales | Salvaguardias administrativas, físicas y técnicas para la PHI | Hasta 1,9 millones de dólares por categoría de infracción al año |
| Regla de Salvaguardias GLBA | Actualizado 2023 | Instituciones financieras | Evaluación de riesgos, controles de acceso, MFA, cifrado, respuesta a incidentes | Aplicación de la agencia federal |
Reino Unido
| Reglamento | Efectivo | Alcance | Requisitos clave | Penalizaciones |
|---|---|---|---|---|
| Regulaciones NIS del Reino Unido | 2018 (actualizado) | Servicios esenciales, servicios digitales | Gestión de riesgos, notificación de incidentes, cadena de suministro | 17 millones de libras esterlinas |
| RGPD del Reino Unido | 2021 | Organizaciones que procesan datos de residentes del Reino Unido | Medidas de seguridad, notificación de incumplimiento (72 h) | 17,5 millones de libras esterlinas o 4% de ingresos |
| Requisitos de la FCA | En curso | Empresas de servicios financieros | Resiliencia operativa, notificación de incidentes, riesgo de terceros | Aplicación de la FCA |
| Propuesta de ley de resiliencia y seguridad cibernética | 2025-2026 | Ampliado desde el alcance actual de NIS | Informes de incidentes mejorados y requisitos de la cadena de suministro | Por determinar |
Asia-Pacífico
| País | Reglamento | Requisitos clave | Penalizaciones |
|---|---|---|---|
| Singapur | Ley de Ciberseguridad de 2018 | Operadores de ICI: notificación de incidentes, auditorías, evaluaciones de riesgos | 100.000 SGD |
| Australia | Ley SOCI 2022 (modificada) | Infraestructura crítica: gestión de riesgos, notificación de incidentes (12-72 h) | Sanciones civiles |
| Japón | Ley de Seguridad Económica de 2022 | Infraestructura crítica: análisis de la cadena de suministro | Órdenes administrativas |
| Corea del Sur | Ley de Redes + PIPA | Notificación de violación de datos, medidas de seguridad | 50 millones de wones + 3% de ingresos |
| India | CERT-En Direcciones 2022 | Informe de incidentes en 6 horas, retención de registros (180 días) | Prisión + multas |
| China | CSL + DSL + PIPL | Infraestructura crítica: localización, revisiones de seguridad, notificación de incidentes | Hasta 5% de ingresos |
Medio Oriente y África
| País | Reglamento | Requisitos clave | Penalizaciones |
|---|---|---|---|
| Emiratos Árabes Unidos | Estándares NESA + PDPL | Infraestructura crítica: controles de seguridad, notificación de incidentes | Multas + revocación de licencia |
| Arabia Saudita | Marco NCA ECC | Gobierno/crítico: evaluaciones de cumplimiento, seguimiento | Cumplimiento regulatorio |
| Sudáfrica | POPÍA + ECTA | Medidas de seguridad, notificación de infracciones | 10 millones de ZAR o prisión |
| Kenia | Ley de Protección de Datos de 2019 | Medidas de seguridad, notificación de incumplimiento | KSh 5 millones o 1% de ingresos |
Creación de un marco de cumplimiento universal
Controles de mapa a regulaciones
En lugar de implementar controles separados para cada regulación, cree un marco unificado:
| Dominio de control | NIS2 | SEC | DORA | NEI del Reino Unido | CSA de Singapur |
|---|---|---|---|---|---|
| Evaluación de riesgos | Requerido | Requerido | Requerido | Requerido | Requerido |
| Plan de respuesta a incidentes | Requerido | Divulgado | Requerido | Requerido | Requerido |
| Notificación de incidentes | 24 horas/72 horas | 4 autobuses. días | Basado en clasificación | 72 horas | Requerido |
| Seguridad de la cadena de suministro | Requerido | Divulgado | Requerido | Requerido | Recomendado |
| MFA / control de acceso | Requerido | Recomendado | Requerido | Requerido | Requerido |
| Cifrado | Requerido | Recomendado | Requerido | Requerido | Requerido |
| Pruebas de penetración | Requerido | Recomendado | Requerido anualmente | Requerido | Requerido |
| Supervisión de la junta | Requerido (responsabilidad personal) | Requerido (divulgación) | Requerido | Recomendado | Recomendado |
| Capacitación en concientización sobre seguridad | Requerido | Recomendado | Requerido | Requerido | Requerido |
| Continuidad del negocio | Requerido | Divulgado | Requerido (pruebas de resiliencia) | Requerido | Requerido |
Marco base recomendado
Comience con NIST Cybersecurity Framework 2.0 o ISO 27001:2022 como base:
- NIST CSF 2.0: gratuito, flexible, ampliamente reconocido en EE. UU. e internacionalmente
- ISO 27001: Certificable, preferida en la UE y por clientes empresariales
Ambos marcos cubren los dominios de control básicos requeridos por la mayoría de las regulaciones. Agregue requisitos regulatorios específicos (cronogramas de informes, formatos de documentación) en la parte superior.
Comparación de informes de incidentes
| Jurisdicción | Fecha límite para presentar informes | Informar a | Contenido requerido |
|---|---|---|---|
| UE (NIS2) | Alerta temprana las 24 horas, 72 horas completas | CSIRT/autoridad nacional | Impacto, indicadores, impacto transfronterizo |
| UE (RGPD) | 72 horas (a la autoridad), "sin demoras indebidas" (a personas si hay alto riesgo) | Autoridad supervisora | Naturaleza, categorías, registros aproximados, consecuencias, medidas |
| UE (DORA) | Depende de la clasificación (de 1 hora a 1 mes) | Autoridad de supervisión financiera | Detalle basado en clasificación |
| Estados Unidos (SEC) | 4 días hábiles (incidencias materiales) | Presentación ante la SEC (8-K) | Naturaleza, alcance, calendario, impacto material |
| Estados Unidos (CISA) | Incidentes de 72 horas, ransomware de 24 horas | CISA | Detalles del incidente, impacto, indicadores |
| Reino Unido (NIS) | 72 horas | NCSC/autoridad pertinente | Evaluación de impacto, medidas adoptadas |
| India (CERT-In) | 6 horas | CERT-In | Tipo de incidente, sistemas afectados, impacto |
| Australia (SOCI) | 12 h (crítico), 72 h (significativo) | ACSC | Impacto, acciones de respuesta, indicadores |
| Singapur (CSA) | Plazo prescrito | CSA | Detalles del incidente, impacto, respuesta |
Priorización de cumplimiento
Para empresas que operan en varias regiones
- Implementar ISO 27001 o NIST CSF como base (satisface entre el 60% y el 80% de todos los requisitos)
- Mapear las brechas regulatorias para cada jurisdicción donde opera
- Priorizar según la gravedad de la sanción: las normas de la UE (NIS2/GDPR) y la SEC conllevan las sanciones más altas.
- Armonizar la presentación de informes: crear un proceso de notificación de incidentes que cumpla con el plazo más estricto (6 horas para la India) y adaptar los resultados para cada autoridad.
- Documente todo: la mayoría de las regulaciones requieren un cumplimiento demostrable, no solo la seguridad
Preguntas frecuentes
¿Se aplica NIS2 a nuestra empresa?
NIS2 se aplica si opera en la UE y pertenece a uno de los 18 sectores (energía, transporte, banca, atención médica, infraestructura digital, administración pública, espacio, correos, residuos, alimentos, manufactura, productos químicos, investigación y servicios de TIC). Las entidades esenciales son grandes empresas en sectores críticos. Las entidades importantes son las medianas empresas de esos sectores. El alcance ampliado capta muchas más empresas que NIS1. Incluso si usted no está directamente dentro del alcance, sus clientes pueden exigir el cumplimiento de NIS2 por parte de su cadena de suministro.
¿Cómo cumplimos con las regulaciones de ciberseguridad en varios países?
Cree un marco de seguridad unificado (ISO 27001 o NIST CSF) que cubra los requisitos comunes. Cree un documento de mapeo regulatorio que muestre qué controles marco satisfacen qué regulaciones. Para requisitos exclusivos de jurisdicciones específicas (cronogramas de informes, formatos de documentación), cree apéndices para su marco base. Esto es mucho más eficiente que crear programas de cumplimiento separados.
¿Existen requisitos de ciberseguridad específicos para los sistemas ERP?
No es específico de ERP, pero los sistemas ERP generalmente se incluyen en múltiples ámbitos regulatorios porque procesan datos financieros (SOX, DORA), datos personales (GDPR, NIS2) y, a menudo, se consideran sistemas comerciales críticos. Asegúrese de que su ERP tenga: control de acceso basado en roles, registro de auditoría, cifrado, parches regulares y procedimientos de respuesta a incidentes. ECOSIRE proporciona refuerzo de seguridad de Odoo que aborda estos requisitos.
¿Qué viene después?
El cumplimiento normativo de ciberseguridad es una dimensión de su programa de gobernanza. Combínelo con gobernanza de datos para regulaciones específicas de datos, privacidad de datos de los empleados para datos de la fuerza laboral e implementación del consentimiento de cookies para propiedades web.
Comuníquese con ECOSIRE para obtener consultoría sobre cumplimiento de seguridad cibernética en múltiples jurisdicciones.
Publicado por ECOSIRE: ayuda a las empresas a navegar por el panorama regulatorio global.
Escrito por
ECOSIRE Research and Development Team
Construyendo productos digitales de nivel empresarial en ECOSIRE. Compartiendo perspectivas sobre integraciones Odoo, automatización de eCommerce y soluciones empresariales impulsadas por IA.
Artículos relacionados
Mejores prácticas de seguridad de agentes de IA: protección de sistemas autónomos
Guía completa para proteger a los agentes de IA que cubre defensa de inyección rápida, límites de permisos, protección de datos, registros de auditoría y seguridad operativa.
Lista de verificación de preparación para auditorías: cómo su ERP hace que las auditorías sean un 60 por ciento más rápidas
Lista de verificación completa de preparación de auditoría utilizando sistemas ERP. Reduzca el tiempo de auditoría en un 60 por ciento con documentación, controles y recopilación de evidencia automatizada adecuados.
Mejores prácticas de seguridad en la nube para PYMES: proteja su nube sin un equipo de seguridad
Proteja su infraestructura en la nube con mejores prácticas prácticas para IAM, protección de datos, monitoreo y cumplimiento que las PYMES pueden implementar sin un equipo de seguridad dedicado.
Más de Compliance & Regulation
Lista de verificación de preparación para auditorías: cómo su ERP hace que las auditorías sean un 60 por ciento más rápidas
Lista de verificación completa de preparación de auditoría utilizando sistemas ERP. Reduzca el tiempo de auditoría en un 60 por ciento con documentación, controles y recopilación de evidencia automatizada adecuados.
Guía de implementación del consentimiento de cookies: gestión del consentimiento conforme a la ley
Implemente un consentimiento de cookies que cumpla con GDPR, ePrivacy, CCPA y regulaciones globales. Cubre banners de consentimiento, categorización de cookies e integración de CMP.
Regulaciones de transferencia de datos transfronteriza: navegando por los flujos de datos internacionales
Explore las regulaciones de transferencia de datos transfronterizas con SCC, decisiones de adecuación, BCR y evaluaciones de impacto de transferencia para el cumplimiento del RGPD, el Reino Unido y APAC.
Gobernanza y cumplimiento de datos: la guía completa para empresas de tecnología
Guía completa de gobernanza de datos que cubre marcos de cumplimiento, clasificación de datos, políticas de retención, regulaciones de privacidad y hojas de ruta de implementación para empresas de tecnología.
Políticas de retención de datos y automatización: conserve lo que necesita, elimine lo que deba
Cree políticas de retención de datos con requisitos legales, cronogramas de retención, aplicación automatizada y verificación del cumplimiento de GDPR, SOX e HIPAA.
Gestión de la privacidad de los datos de los empleados: equilibrar las necesidades de recursos humanos con los derechos de privacidad
Administre la privacidad de los datos de los empleados con los requisitos del RGPD, los motivos de procesamiento de datos de recursos humanos, las políticas de monitoreo, las transferencias transfronterizas y las mejores prácticas de retención.