What does GuardianAI do?

GuardianAI analyzes technical documentation and detects compliance risks under the EU AI Act, GDPR and ISO 42001.

What documents can I scan?

PDF, DOCX and TXT files up to 25 MB: technical specifications, model cards, risk assessments, privacy policies.

Does GuardianAI replace legal advice?

No. GuardianAI is a RegTech support tool. It does not replace professional legal advice. Human review is recommended for final decisions.

TLS 1.3 + AES-256 encryption. GDPR-compliant European infrastructure. Minimal retention. Your documents are never used to train models.

Directiva NIS2 y su Impacto en Empresas que Usan o Desarrollan IA

NIS2: la ciberseguridad que llega al mundo de la IA

La Directiva (UE) 2022/2555 (NIS2) amplía y endurece significativamente el marco europeo de ciberseguridad para redes e información. Sus obligaciones aplican desde octubre de 2024 (plazo de transposición de los Estados miembros).

Si tu empresa desarrolla software con IA, opera plataformas cloud, o provee servicios digitales a sectores críticos — NIS2 casi seguramente te afecta.

¿A quién aplica NIS2?

NIS2 aplica a entidades de dos categorías:

Entidades Esenciales

Sectores de alta criticidad (Anexo I):

Energía (electricidad, gas, petróleo, hidrógeno)
Transporte (aéreo, ferroviario, marítimo, por carretera)
Sector bancario y infraestructura de mercados financieros
Sanidad y laboratorios farmacéuticos
Infraestructura digital (IXPs, DNS, TLD, data centers, cloud, redes CDN)
Agua y aguas residuales
Administración pública e infraestructura espacial

Entidades Importantes

Otros sectores críticos (Anexo II):

Servicios digitales (plataformas de marketplace, motores de búsqueda, redes sociales)
Gestión de servicios TIC (proveedores de servicios gestionados, MSSPs)
Servicios postales
Fabricación de productos críticos (farmacéutico, electrónica, maquinaria)
Producción y distribución de alimentos

Umbral de tamaño: Aplica generalmente a empresas medianas (≥50 empleados o ≥10M€ de facturación) y grandes. Las PYMEs pequeñas solo si son identificadas como críticas por el Estado miembro.

¿Por qué importa a las empresas de IA?

Varias categorías de NIS2 son directamente relevantes para el ecosistema de IA:

1. Proveedores de servicios cloud e IaaS/PaaS

Si ofreces infraestructura cloud, plataformas de MLOps, entornos de entrenamiento o cualquier servicio de computación como servicio, caes en infraestructura digital del Anexo I.

2. Proveedores de servicios gestionados de IA (AIMSPs)

Empresas que gestionan sistemas de IA en nombre de terceros (ej. una plataforma de cumplimiento SaaS como GuardianAI que gestiona análisis para clientes) pueden calificar como MSP/MSSP del Anexo II.

3. Sistemas de IA en sectores críticos

Si tu sistema de IA opera en sanidad, finanzas, energía o transporte (sectores del Anexo I de NIS2 y también Anexo III del EU AI Act), tu organización puede quedar bajo ambos marcos simultáneamente.

Obligaciones principales de NIS2

Medidas de gestión de riesgos de ciberseguridad (Art. 21)

Políticas de análisis de riesgos y seguridad de sistemas de información
Gestión de incidentes: procedimientos para detección, notificación y respuesta
Continuidad de negocio y gestión de crisis: copias de seguridad, recuperación ante desastres
Seguridad de la cadena de suministro: evaluación de riesgos de proveedores y subcontratistas
Seguridad en la adquisición y desarrollo de sistemas: políticas de secure-by-design
Gestión de vulnerabilidades y parcheo: procedimientos para evaluación y divulgación
Ciberhigiene y formación: programas básicos de seguridad para empleados
Políticas sobre criptografía y, cuando proceda, cifrado
Seguridad RRHH: consecuencias de incumplimiento, acceso con mínimo privilegio
Autenticación multifactor (MFA): obligatoria para sistemas de información relevantes

Notificación de incidentes

24 horas: notificación de alerta temprana al CSIRT/autoridad competente
72 horas: notificación de incidente con evaluación inicial de impacto
1 mes: informe final

El solapamiento NIS2 + EU AI Act

Para empresas que caen bajo ambos marcos, hay un solapamiento importante en cuanto a:

Área	NIS2	EU AI Act
---	---	---
Gestión de riesgos	Art. 21 — riesgos de ciberseguridad	Art. 9 — gestión de riesgos del sistema de IA
Documentación	Políticas y evidencias de controles	Documentación técnica (Anexo IV)
Notificación de incidentes	24h/72h al CSIRT	Notificación al organismo de supervisión (Art. 73)
Supervisión de proveedores	Seguridad de la cadena de suministro	Control de deployers sobre proveedores de IA
Auditorías	Por autoridades NIS2	Por autoridades EU AI Act

La recomendación práctica es integrar los programas de cumplimiento en un único framework interno que cubra ambas normativas, evitando duplicar trabajo.

Sanciones NIS2

Las multas son severas:

Entidades Esenciales: hasta 10 millones de euros o el 2% del volumen de negocio global anual
Entidades Importantes: hasta 7 millones de euros o el 1,4% del volumen de negocio global

Además, NIS2 introduce responsabilidad personal de los órganos de dirección por incumplimiento reiterado: posible prohibición temporal de ejercer funciones de gestión.

Plan de acción para empresas de IA bajo NIS2

Determinar si eres entidad esencial o importante (sector + tamaño)
Registrarte ante la autoridad nacional competente (en España: INCIBE o CCN-CERT según sector)
Realizar un análisis de brechas contra los 10 requisitos del Art. 21
Implementar MFA en todos los sistemas de acceso a información sensible
Documentar la cadena de suministro de IA: ¿qué APIs, modelos y proveedores usan tus sistemas?
Preparar el plan de respuesta a incidentes con los tiempos de notificación de NIS2
Integrar con EU AI Act: si también eres proveedor de sistemas de alto riesgo, unificar la gestión de riesgos

Conclusión

NIS2 y el EU AI Act son en muchos sentidos complementarios: uno regula la seguridad de los sistemas digitales, el otro los riesgos específicos de los sistemas de IA. Para empresas en la intersección (y muchas lo están), la clave es una visión integrada del cumplimiento normativo.

GuardianAI está desarrollando soporte específico para mapear documentos y controles contra NIS2, de forma integrada con el análisis de EU AI Act y RGPD.