Soberanía UE Dossier de conformidad · v1.0 · 2026

Cuatro normas,
una postura operativa.

Para cada norma: qué exige, desde cuándo, a quién afecta y qué combinación de productos P3 te la hace cumplir sin reescribir el portfolio de proveedores.

[ Reserva Munin ] Mapeo normas → productos
[P3] conformidad 4 normas
NIS2Cyber · pymes críticas2024 → 2026
AI ActClasificación de riesgoago 2026
DORAResiliencia ICT · finanzasene 2025
GDPRPrivacidad · data residencydesde 2018
01 Las cuatro normas Fuente · Diario Oficial UE

Los pilares de la conformidad
para quien opera en Europa.

Ninguna es opcional. Tres ya están en vigor. La cuarta es la más pesada y vence en 2026.

NIS2
Network & Information
Security 2
Cyber · obligación pymes críticas

Risk management, incident reporting en 24h+72h, supply-chain security, board accountability. Sanciones hasta el 2% de la facturación global o 10M€.

Plazo: transposición antes del 17 oct 2024 · aplicación 2026
AI Act
EU Artificial
Intelligence Act
IA · clasificación de riesgo

Clasificación de los sistemas de IA por riesgo (prohibido → mínimo). Documentación técnica, gobernanza, supervisión humana, registro público. Multas hasta 35M€ o 7%.

Plazo: aplicable desde ago 2026 para high-risk
DORA
Digital Operational
Resilience Act
Finanzas · ICT risk

Resiliencia ICT del sector financiero. Third-party risk, testing avanzado (TLPT), incident report, oversight de proveedores críticos. Directa sobre bancos, asset managers, IT service providers.

Plazo: aplicable el 17 ene 2025
GDPR
General Data
Protection Regulation
Privacidad · data residency

Transferencias fuera de la UE, bases jurídicas, DPIA, notificación de incidente en 72h. Combinado con el Cloud Act, convierte el alojamiento en la UE en una decisión técnica, no política.

Plazo: en vigor desde 2018 · aplicación continua
02 Mapeo requisito → producto 15 controles principales

Para cada requisito normativo,
qué producto P3 lo cubre.

Así funciona de verdad una auditoría: el auditor te pide "control X", tú muestras "producto Y configurado así". Tabla usada literalmente en nuestras propuestas.

Norma · req.
Qué te exige
Cómo P3 lo cubre
Productos
NIS2 · art. 21
Medidas técnicas de gestión del riesgo cyber, de forma proporcionada.
SOC en 48h, MDR 24/7, asset inventory continuo, vulnerability mgmt.
[ Fenrir SOC ]
[ Fenrir MDR ]
[ Munin ]
NIS2 · art. 23
Incident reporting 24h alerta + 72h informe intermedio + 1m final.
Playbook IR, retención de logs en suelo UE, integración con CSIRT.
[ Fenrir MDR ]
[ HUGIN ]
NIS2 · supply chain
Seguridad de los proveedores ICT, evaluación de terceros.
Auditoría de proveedores on-premise, attack surface externa continua, monitorización de certificados TLS.
[ HUGIN ]
[ Munin ]
AI Act · governance
Clasificación del sistema de IA, documentación técnica, supervisión humana.
Risk classification workshop, technical file, audit trail sobre el pipeline de IA.
[ AI Consulting ]
[ P3 Dev Bridge ]
AI Act · provider
Obligaciones sobre proveedores y deployers de modelos high-risk.
Choice architecture alojada en la UE, due diligence de proveedores de IA, contratos EU-only.
[ AI Consulting ]
DORA · ICT risk
Framework de gestión del riesgo ICT, RTO/RPO documentados.
Risk assessment anual, backup alojado en la UE, DR plan probado, retención de logs 5 años.
[ Cybersecurity ]
[ Fenrir MDR ]
DORA · third party
Registro de proveedores críticos ICT, oversight, exit strategy.
Vendor inventory automático, attack surface monitoring, revisión de contratos.
[ HUGIN ]
[ AI Consulting ]
GDPR · art. 28
Encargado del tratamiento, DPA, lista de subencargados.
DPA estándar, lista de subencargados solo UE, auditoría a demanda del cliente.
Todo el portfolio
alojado en la UE, por arquitectura
GDPR · art. 32
Medidas técnicas y organizativas adecuadas. E2EE cuando es viable.
Chat E2EE para AAPP, MDM rugged con cifrado, retención de logs inmutable en la UE.
[ MIRA ]
[ Anvil MDM ]
GDPR · transfer
Transferencias fuera de la UE, SCC, evaluación del país tercero.
Cero transferencias: todos los datos permanecen en la UE, ningún subencargado de EE. UU., sin Cloud Act.
Arquitectura
EU-only, por arquitectura
03 Cloud Act Lo que ningún proveedor de EE. UU. te dirá

El problema que
no puedes contratar.

Incluso con el mejor contrato, el mejor DPA, el mejor SCC, un proveedor estadounidense sigue sujeto a una ley estadounidense. Punto.

USC 18 §2713 · el resumen honesto

Cuando una autoridad de EE. UU. pide datos a Microsoft, Google o AWS, el proveedor debe entregarlos, aunque los datos estén en Europa, incluso sin decírselo al cliente europeo.

No es una posición política: es el texto del Clarifying Lawful Overseas Use of Data Act, firmado en 2018. Ninguna cláusula privada puede derogarlo. Ningún DPA, ningún SCC, ninguna certificación ISO. Cuando llega el requerimiento, el proveedor estadounidense elige entre cumplir la ley de EE. UU. o la de la UE. Elige siempre la de EE. UU.: es la que lo manda a prisión.

Proveedor estadounidense en región UE
Expuesto al Cloud Act
Los datos están físicamente en Europa pero el proveedor está sujeto a USC 18 §2713. Un requerimiento de EE. UU. los obtiene igualmente, en silencio.
P3 · EU-only, por arquitectura
Fuera del perímetro de EE. UU.
Centros de datos en la UE, propiedad en la UE (sociedad estonia), ningún BAA con proveedores de EE. UU. Un requerimiento estadounidense no tiene jurisdicción.

Esta es la razón por la que cada byte de cada cliente P3 vive en Europa. No es marketing, es arquitectura. Si algún día cambiara, aunque fuera para un solo cliente migrado a un servicio en región de EE. UU., nos veríamos obligados a reescribir el manifiesto. Por ahora, lo mantenemos por diseño.

¿Tienes una auditoría de conformidad
que afrontar en los próximos 90 días?

Munin es la puerta de entrada. Siete días on-premise, informe archivable, entregables en tu idioma.

[ Reserva Munin ]