Datos clave
| Normativa | Corrección del Reglamento Delegado (UE) 2026/881 — complementa el Reglamento (UE) 2024/2847 |
|---|---|
| Publicación | 09 de junio de 2026 |
| Entrada en vigor | 20 de abril de 2026 (fecha del texto original corregido) |
| Afectados | Empresas y entidades obligadas a notificar incidentes de ciberseguridad bajo normativa UE |
| Categoría | Protección de Datos / Ciberseguridad |
| Ejercicio | 2026 |
| Fuente oficial | OJ:L_202690449 — EUR-Lex |
Si tu empresa está obligada a notificar incidentes de ciberseguridad bajo la normativa europea, este cambio te afecta ahora mismo. El Reglamento Delegado (UE) 2026/881, que complementa el Reglamento (UE) 2024/2847, ha sido objeto de una corrección formal publicada el 9 de junio de 2026, con efectos desde el 20 de abril de 2026. El texto ajusta errores formales del original y precisa las modalidades y condiciones bajo las cuales una entidad puede invocar motivos de ciberseguridad para aplazar la difusión pública de una notificación de incidente.
No se trata de una norma nueva desde cero, sino de una corrección que afina el marco ya vigente. Pero eso no la hace menos relevante: cualquier desajuste entre tus procedimientos internos y el texto corregido puede generar problemas de cumplimiento en el momento en que debas gestionar un incidente real.
¿Qué establece esta normativa?
El Reglamento (UE) 2024/2847 establece el marco general de ciberseguridad aplicable a determinadas entidades en la UE, incluyendo la obligación de notificar incidentes significativos. El Reglamento Delegado (UE) 2026/881 lo complementa fijando las reglas específicas sobre cuándo y cómo se puede aplazar la difusión pública de esas notificaciones alegando razones de ciberseguridad.
La corrección publicada el 9 de junio de 2026 corrige errores formales del texto original publicado el 20 de abril de 2026. Los elementos clave que regula esta normativa son:
- Modalidades para alegar motivos de ciberseguridad: se definen las condiciones concretas bajo las cuales una entidad puede justificar el aplazamiento de la difusión pública de una notificación de incidente.
- Condiciones para el aplazamiento: no cualquier incidente ni cualquier justificación es válida; el reglamento delimita el perímetro de lo que se considera motivo legítimo de ciberseguridad.
- Procedimientos de notificación: las entidades deben asegurarse de que sus protocolos internos recogen los requisitos actualizados tras la corrección.
- Responsables implicados: tanto los equipos de ciberseguridad como los responsables de cumplimiento normativo (compliance officers, DPOs) deben conocer y aplicar el texto corregido.
| Elemento normativo | Detalle |
|---|---|
| Norma base | Reglamento (UE) 2024/2847 del Parlamento Europeo y del Consejo |
| Norma delegada corregida | Reglamento Delegado (UE) 2026/881 de la Comisión, de 11 de diciembre de 2025 |
| Objeto de la corrección | Ajuste de errores formales del texto original publicado el 20 de abril de 2026 |
| Materia regulada | Modalidades y condiciones para alegar motivos de ciberseguridad en el aplazamiento de notificaciones de incidentes |
| Fecha de publicación de la corrección | 9 de junio de 2026 |
| Fecha del texto original | 20 de abril de 2026 |
Impacto económico y operativo
Esta corrección no introduce nuevas cargas económicas directas (no hay tasas, multas ni importes nuevos establecidos en el texto corregido). Sin embargo, su impacto operativo es real y puede traducirse en costes indirectos significativos si no se gestiona correctamente:
- Revisión de procedimientos internos: los equipos de ciberseguridad y cumplimiento deben revisar y, si procede, actualizar los protocolos de notificación de incidentes para alinearse con el texto corregido. Esto implica tiempo de dedicación de personal especializado.
- Riesgo de incumplimiento: operar con procedimientos basados en el texto original con errores formales —en lugar del texto corregido— puede generar vulnerabilidades de cumplimiento ante una auditoría o un incidente real.
- Gestión de la comunicación de brechas: el aplazamiento de la difusión pública de notificaciones es una decisión con implicaciones legales, reputacionales y operativas. Aplicar incorrectamente las condiciones del aplazamiento puede exponer a la entidad a responsabilidades.
- Formación interna: los responsables de cumplimiento y los equipos de ciberseguridad deben conocer el texto actualizado, lo que puede requerir sesiones de actualización formativa.
¿A quién afecta?
- Empresas y entidades obligadas a notificar incidentes de ciberseguridad bajo el Reglamento (UE) 2024/2847.
- Responsables de cumplimiento normativo (compliance officers) que supervisan los protocolos de notificación de incidentes.
- Delegados de Protección de Datos (DPO) en entidades sujetas a obligaciones de notificación.
- Equipos de ciberseguridad que gestionan la detección, respuesta y comunicación de brechas o incidentes.
- Directores de Seguridad de la Información (CISO) responsables de los protocolos de respuesta a incidentes.
- Asesores legales y consultores que acompañan a entidades en el cumplimiento de la normativa de ciberseguridad europea.
- Entidades de sectores críticos o esenciales que ya estén en el ámbito de aplicación de la normativa de ciberseguridad de la UE.
Ejemplo práctico
Imagina una empresa de infraestructuras digitales que detecta un incidente de ciberseguridad significativo. Bajo el Reglamento (UE) 2024/2847, está obligada a notificarlo. Sin embargo, su equipo de seguridad considera que difundir públicamente la notificación de forma inmediata podría agravar el incidente o facilitar nuevos ataques.
Para poder aplazar esa difusión pública, la empresa debe invocar motivos de ciberseguridad siguiendo exactamente las modalidades y condiciones que establece el Reglamento Delegado (UE) 2026/881 —en su versión corregida, publicada el 9 de junio de 2026—. Si los procedimientos internos de la empresa se basan en el texto original con errores formales, la justificación del aplazamiento podría no ajustarse a los requisitos vigentes, exponiendo a la entidad a un incumplimiento normativo.
La corrección garantiza que el texto aplicable es el que recoge las condiciones precisas y formalmente correctas. Por eso, revisar los procedimientos internos contra el texto corregido no es opcional: es la diferencia entre un aplazamiento válidamente justificado y uno que no lo está.
¿Qué deben hacer las empresas ahora?
- Localizar y leer el texto corregido: accede al texto oficial de la corrección en EUR-Lex y compáralo con el Reglamento Delegado (UE) 2026/881 original para identificar exactamente qué errores formales han sido corregidos.
- Revisar los procedimientos internos de notificación de incidentes: contrastar los protocolos actuales con los requisitos del texto corregido, especialmente en lo relativo a las condiciones para alegar motivos de ciberseguridad y aplazar la difusión pública.
- Actualizar la documentación interna: si los procedimientos hacen referencia al texto original, actualizarlos para reflejar la versión corregida vigente desde el 20 de abril de 2026.
- Informar a los equipos implicados: asegurarse de que el equipo de ciberseguridad, el DPO, el compliance officer y el CISO conocen el contenido del texto corregido y sus implicaciones prácticas.
- Verificar la alineación con el Reglamento (UE) 2024/2847: comprobar que los procedimientos de notificación cumplen tanto con la norma base como con el reglamento delegado corregido.
- Consultar con asesoría legal especializada si hay dudas sobre el alcance de los cambios formales o sobre cómo afectan a los procedimientos de notificación ya establecidos.
Preguntas frecuentes
¿Qué corrige exactamente el Reglamento Delegado (UE) 2026/881?
La corrección publicada el 9 de junio de 2026 ajusta errores formales del texto original del Reglamento Delegado (UE) 2026/881, publicado el 20 de abril de 2026. Este reglamento complementa el Reglamento (UE) 2024/2847 y establece las modalidades y condiciones para alegar motivos de ciberseguridad al aplazar la difusión pública de notificaciones de incidentes. Los errores corregidos son de carácter formal, pero el texto corregido es el que tiene validez jurídica.
¿Cuándo entra en vigor esta corrección y desde cuándo aplica?
La corrección fue publicada el 9 de junio de 2026. Sin embargo, el texto que corrige —el Reglamento Delegado (UE) 2026/881— tiene como fecha de referencia el 20 de abril de 2026, que es la fecha del texto original. Las empresas deben considerar el texto corregido como el vigente desde esa fecha.
¿Qué empresas están obligadas a cumplir con este reglamento?
Las empresas y entidades obligadas a notificar incidentes de ciberseguridad bajo el Reglamento (UE) 2024/2847 del Parlamento Europeo y del Consejo. Esto incluye especialmente a entidades de sectores críticos o esenciales, así como a cualquier organización sujeta a obligaciones de notificación de incidentes bajo la normativa de ciberseguridad europea vigente.
¿Qué pasa si mi empresa no actualiza sus procedimientos de notificación?
Operar con procedimientos basados en el texto original con errores formales —en lugar del texto corregido— puede generar vulnerabilidades de cumplimiento. En caso de incidente real, si el aplazamiento de la difusión pública no se justifica conforme a las condiciones del texto corregido, la entidad puede quedar expuesta a incumplimiento normativo con las responsabilidades que ello conlleva. Se recomienda revisar y actualizar los procedimientos internos sin demora.
¿Quién dentro de la empresa debe gestionar el cumplimiento de esta normativa?
Los responsables principales son el compliance officer, el Delegado de Protección de Datos (DPO) y el Director de Seguridad de la Información (CISO). Los equipos de ciberseguridad que gestionan la detección y comunicación de brechas o incidentes también deben conocer el contenido del texto corregido y aplicarlo en sus protocolos de respuesta.
Fuente oficial
Consultar normativa completa en fuente oficial
Aviso: Este artículo tiene carácter meramente informativo y no constituye asesoramiento legal. Para decisiones específicas, consulte a un profesional cualificado. Fuente: https://eur-lex.europa.eu/./legal-content/AUTO/?uri=OJ:L_202690449