CTIF

Anexos · IV

Calendario regulatorio aplicable

El acervo regulatorio europeo en materia tecnológica ha experimentado en los últimos años un crecimiento extraordinario que sitúa estas materias en el primer plano de la supervisión del consejo. Este anexo inventaria las normas materialmente relevantes, su estado de aplicación y sus implicaciones para la función supervisora de la comisión, agrupadas por bloque temático.

Aplicable10
Aplicación escalonada3
En transposición2
Pendiente0
Total inventariado15 normas

Las fechas reflejan el régimen formal de aplicación de cada norma. Conviene verificar el estado actual de transposición y de la tramitación de paquetes de simplificación (Omnibus) en el momento de la planificación efectiva. Fechas elaboradas conforme al DOUE y al BOE; el lector debe verificar contra fuente oficial antes de basar decisiones materiales en ellas.

Gobernanza tecnológica horizontal

Régimen europeo aplicable transversalmente al uso de la inteligencia artificial, al gobierno del dato y a la resiliencia operativa digital.

  1. Reglamento (UE) 2024/1689 · DOUE L de 12.7.2024

    AI ActReglamento por el que se establecen normas armonizadas en materia de inteligencia artificial

    Aplicación escalonada

    Primer cuerpo normativo horizontal de alcance europeo que regula la puesta en el mercado, puesta en servicio y uso de sistemas de inteligencia artificial. Clasifica los sistemas por nivel de riesgo (prohibido, alto, limitado, mínimo, modelos de propósito general) y articula un régimen escalonado de obligaciones.

    Calendario

    1. Publicación

      12 de julio de 2024

      Publicación en el DOUE

    2. Entrada en vigor

      1 de agosto de 2024

      Entrada en vigor general

    3. Aplicación

      2 de febrero de 2025

      Aplicación del capítulo I (alfabetización en IA) y del artículo 5 (prácticas prohibidas)

    4. Aplicación

      2 de agosto de 2025

      Aplicación del régimen de modelos de IA de propósito general (GPAI), de gobernanza europea y del régimen sancionador

    5. Hito intermedio

      diciembre de 2025

      Publicación por AESIA del paquete de 16 guías técnicas que operativizan el cumplimiento del Reglamento (detalladas en el Anexo V)

    6. Aplicación

      2 de agosto de 2026

      Aplicación general del Reglamento (sistemas de alto riesgo del anexo III, transparencia y demás disposiciones)

    7. Aplicación

      2 de agosto de 2027

      Aplicación del régimen para sistemas de alto riesgo embebidos en productos regulados (anexo I)

    Implicaciones para la comisión

    • 01

      Supervisión del marco formalizado de gobernanza de IA de la sociedad y de su clasificación por categorías de riesgo.

    • 02

      Inventario de sistemas de IA y supervisión reforzada de los clasificados como de alto riesgo.

    • 03

      Mecanismos formales que prevengan el uso de sistemas comprendidos en el artículo 5 (prácticas prohibidas).

    • 04

      Régimen sancionador con multas de hasta 35 M€ o el 7% del volumen de negocios anual mundial (art. 99).

  2. Reglamento (UE) 2022/868 · DOUE L 152 de 3.6.2022

    DGAReglamento de Gobernanza de Datos

    Aplicable

    Establece el marco europeo de gobernanza de datos, los servicios de intermediación de datos y la cesión altruista de datos.

    Calendario

    1. Publicación

      3 de junio de 2022

      Publicación en el DOUE

    2. Aplicación

      24 de septiembre de 2023

      Aplicación plena del Reglamento

    Implicaciones para la comisión

    • 01

      Marco aplicable a sociedades que actúen como proveedores de servicios de intermediación de datos o que participen en espacios europeos comunes de datos sectoriales.

  3. Reglamento (UE) 2023/2854 · DOUE L de 22.12.2023

    Data ActReglamento sobre normas armonizadas para un acceso justo a los datos y su utilización

    Aplicable

    Régimen sobre acceso, intercambio y uso de los datos generados por productos conectados y servicios relacionados, incluyendo el cambio de proveedor de servicios en la nube.

    Calendario

    1. Publicación

      22 de diciembre de 2023

      Publicación en el DOUE

    2. Aplicación

      12 de septiembre de 2025

      Aplicación general del Reglamento

    Implicaciones para la comisión

    • 01

      Supervisión de la posición contractual de la sociedad frente a proveedores cloud y revisión de cláusulas sobre portabilidad y cambio de proveedor.

    • 02

      Obligaciones sobre productos conectados que la sociedad ponga en el mercado.

Ciberseguridad y resiliencia operativa

Régimen europeo y español sobre ciberseguridad, redes y sistemas de información, infraestructuras críticas y resiliencia.

  1. Reglamento (UE) 2022/2554 · DOUE L 333 de 27.12.2022

    DORAReglamento sobre la resiliencia operativa digital del sector financiero

    Aplicable

    Régimen aplicable a entidades financieras sobre gestión del riesgo de tecnologías de la información y comunicación, gestión de incidentes, pruebas de resiliencia operativa digital y gestión del riesgo de terceros proveedores TIC.

    Calendario

    1. Publicación

      27 de diciembre de 2022

      Publicación en el DOUE

    2. Entrada en vigor

      16 de enero de 2023

      Entrada en vigor

    3. Aplicación

      17 de enero de 2025

      Aplicación plena del Reglamento

    Implicaciones para la comisión

    • 01

      Aplicable a entidades financieras: marco de gestión del riesgo TIC, gestión de incidentes, pruebas de resiliencia y gestión de proveedores TIC críticos.

    • 02

      Aun fuera del perímetro financiero, sus estándares constituyen referencia técnica de primer orden para la materia.

  2. Directiva (UE) 2022/2555 · DOUE L 333 de 27.12.2022

    NIS2Directiva sobre medidas para un elevado nivel común de ciberseguridad en la Unión

    En transposición

    Sucesora de la Directiva NIS de 2016. Refuerza expresamente la responsabilidad del órgano de administración en materia de gestión del riesgo de ciberseguridad y amplía el perímetro de entidades obligadas (esenciales e importantes).

    Calendario

    1. Publicación

      27 de diciembre de 2022

      Publicación en el DOUE

    2. Entrada en vigor

      16 de enero de 2023

      Entrada en vigor

    3. Fin transposición

      17 de octubre de 2024

      Plazo límite de transposición por los Estados miembros

    Implicaciones para la comisión

    • 01

      Responsabilidad expresa del órgano de administración sobre la gestión del riesgo de ciberseguridad de la entidad.

    • 02

      Obligaciones de notificación de incidentes significativos al CSIRT competente.

    • 03

      Régimen sancionador con multas que pueden alcanzar 10 M€ o el 2% del volumen de negocios anual.

  3. Directiva (UE) 2022/2557 · DOUE L 333 de 27.12.2022

    CERDirectiva relativa a la resiliencia de las entidades críticas

    En transposición

    Régimen sobre identificación y resiliencia de las entidades críticas que prestan servicios esenciales en los sectores de energía, transporte, banca, infraestructuras del mercado financiero, salud, agua, infraestructura digital, administración pública, espacio, alimentación.

    Calendario

    1. Publicación

      27 de diciembre de 2022

      Publicación en el DOUE

    2. Fin transposición

      17 de octubre de 2024

      Plazo límite de transposición por los Estados miembros

    Implicaciones para la comisión

    • 01

      Aplicable a entidades identificadas como críticas en los sectores enumerados.

    • 02

      Articulación con el marco NIS2 sobre el subconjunto de obligaciones de ciberseguridad.

Información de sostenibilidad

Régimen europeo sobre información corporativa de sostenibilidad en su intersección con la dimensión tecnológica.

  1. Directiva (UE) 2022/2464 · DOUE L 322 de 16.12.2022

    CSRDDirectiva sobre información corporativa de sostenibilidad

    Aplicación escalonada

    Régimen sobre información corporativa de sostenibilidad y normas europeas para su elaboración (ESRS), con exigencias específicas sobre gobernanza tecnológica, ciberseguridad e impactos digitales.

    Calendario

    1. Publicación

      16 de diciembre de 2022

      Publicación en el DOUE

    2. Aplicación

      Ejercicio 2024 · reporte en 2025

      Aplicación a grandes entidades de interés público con más de 500 empleados (Wave 1)

    3. Aplicación

      Ejercicio 2025 · reporte en 2026

      Aplicación al resto de grandes empresas (Wave 2)

    4. Aplicación

      Ejercicio 2026 · reporte en 2027

      Aplicación a PYMES cotizadas, con opción de aplazamiento (Wave 3)

    Implicaciones para la comisión

    • 01

      Información de sostenibilidad en su dimensión tecnológica: gobernanza, ciberseguridad, dato y uso responsable de la IA conforme a los estándares ESRS aplicables.

    • 02

      Articulación con la comisión de sostenibilidad y la comisión de auditoría sobre el proceso de elaboración y aseguramiento.

Protección de datos personales

Régimen europeo y español sobre tratamiento de datos personales y espacios europeos de datos sectoriales.

  1. Reglamento (UE) 2016/679 · DOUE L 119 de 4.5.2016

    RGPDReglamento general de protección de datos

    Aplicable

    Régimen marco sobre el tratamiento de datos personales. Estándar de referencia internacional y soporte de la mayor parte del corpus regulatorio europeo posterior sobre dato e IA.

    Calendario

    1. Publicación

      4 de mayo de 2016

      Publicación en el DOUE

    2. Aplicación

      25 de mayo de 2018

      Aplicación general del Reglamento

    Implicaciones para la comisión

    • 01

      Supervisión última del cumplimiento por el órgano de administración como responsable del tratamiento.

    • 02

      Articulación de la comisión con el responsable de protección de datos (DPO).

    • 03

      Régimen sancionador con multas hasta 20 M€ o el 4% del volumen de negocios anual mundial.

  2. Ley Orgánica 3/2018 · BOE núm. 294 de 6.12.2018

    LOPDGDDLey Orgánica de Protección de Datos Personales y garantía de los derechos digitales

    Aplicable

    Adaptación al ordenamiento español del RGPD y régimen específico de derechos digitales.

    Calendario

    1. Entrada en vigor

      7 de diciembre de 2018

      Entrada en vigor

    Implicaciones para la comisión

    • 01

      Aplicación conjunta con el RGPD a tratamientos sometidos al ordenamiento español.

    • 02

      Derechos digitales reconocidos en el Título X (derecho a la desconexión, neutralidad de Internet, etc.).

  3. Reglamento (UE) 2025/327 · DOUE L de 5.3.2025

    EHDSReglamento del Espacio Europeo de Datos Sanitarios

    Aplicación escalonada

    Primer espacio europeo común de datos sectorial. Régimen sobre uso primario (asistencia sanitaria) y secundario (investigación, innovación, formulación de políticas) de los datos sanitarios.

    Calendario

    1. Publicación

      5 de marzo de 2025

      Publicación en el DOUE

    2. Aplicación

      26 de marzo de 2027

      Aplicación general del Reglamento (con aplicación escalonada hasta 2031)

    Implicaciones para la comisión

    • 01

      Aplicable a sociedades del sector salud, biomédico y de tecnologías sanitarias.

    • 02

      Anticipación del modelo de espacios sectoriales que se replicará en otros dominios (financiero, energético, movilidad).

Servicios digitales y mercados

Régimen europeo aplicable a los servicios digitales, plataformas y guardianes de acceso.

  1. Reglamento (UE) 2022/2065 · DOUE L 277 de 27.10.2022

    DSAReglamento de Servicios Digitales

    Aplicable

    Régimen sobre obligaciones de los prestadores de servicios intermediarios en línea, con régimen reforzado para plataformas y motores de búsqueda en línea de muy gran tamaño (VLOPs y VLOSEs).

    Calendario

    1. Publicación

      27 de octubre de 2022

      Publicación en el DOUE

    2. Aplicación

      17 de febrero de 2024

      Aplicación general del Reglamento

    Implicaciones para la comisión

    • 01

      Aplicable a prestadores de servicios intermediarios, con obligaciones reforzadas para VLOPs y VLOSEs.

  2. Reglamento (UE) 2022/1925 · DOUE L 265 de 12.10.2022

    DMAReglamento de Mercados Digitales

    Aplicable

    Régimen sobre comportamientos prohibidos y obligaciones de las plataformas designadas como guardianes de acceso (gatekeepers).

    Calendario

    1. Publicación

      12 de octubre de 2022

      Publicación en el DOUE

    2. Aplicación

      2 de mayo de 2023

      Aplicación general del Reglamento

    Implicaciones para la comisión

    • 01

      Aplicable a guardianes de acceso designados por la Comisión Europea y a empresas que operen con estos.

Régimen español complementario

Normas españolas específicas que complementan el régimen europeo en la materia tecnológica.

  1. Real Decreto 311/2022 · BOE núm. 106 de 4.5.2022

    ENSEsquema Nacional de Seguridad

    Aplicable

    Marco común de principios básicos y requisitos mínimos de seguridad para una protección adecuada de la información tratada y los servicios prestados por el sector público y por los proveedores tecnológicos del sector público.

    Calendario

    1. Publicación

      4 de mayo de 2022

      Publicación en el BOE

    2. Entrada en vigor

      5 de mayo de 2022

      Entrada en vigor

    3. Fin transposición

      5 de mayo de 2024

      Fin del plazo de adecuación de sistemas en funcionamiento (24 meses)

    Implicaciones para la comisión

    • 01

      Aplicable a sociedades que contraten con el sector público o presten servicios tecnológicos a entidades públicas: exigencia frecuente como requisito habilitante.

  2. Real Decreto 729/2023 · BOE núm. 210 de 2.9.2023

    AESIAReal Decreto por el que se aprueba el Estatuto de la Agencia Española de Supervisión de la Inteligencia Artificial

    Aplicable

    Crea y regula la AESIA como autoridad nacional competente para la supervisión de la inteligencia artificial en el marco del Reglamento (UE) 2024/1689.

    Calendario

    1. Entrada en vigor

      3 de septiembre de 2023

      Entrada en vigor

    Implicaciones para la comisión

    • 01

      Autoridad nacional supervisora de la IA en España, en articulación con la AEPD, los supervisores sectoriales y las autoridades autonómicas competentes.

  3. Ley 2/2023 · BOE núm. 44 de 21.2.2023

    Canal de denunciasLey reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción

    Aplicable

    Régimen de protección del denunciante (whistleblower) y obligación de canales internos de denuncia, aplicable también a infracciones de normativa tecnológica.

    Calendario

    1. Entrada en vigor

      13 de marzo de 2023

      Entrada en vigor

    Implicaciones para la comisión

    • 01

      Canal interno de denuncias aplicable a infracciones tecnológicas (ciberincidentes encubiertos, uso indebido de IA, vulneración de protección de datos, etc.).

Para profundizar

El calendario es la pieza panorámica de cronograma; la doctrina material que cada norma activa en la supervisión de la comisión vive en las secciones del maestro y, para el caso específico del Reglamento (UE) 2024/1689, en el mapa de guías AESIA del Anexo V.