La seguridad y el compliance en cloud ERP en 2026 se apoyan en cinco pilares: infraestructura certificada (ISO 27001, SOC 2), tratamiento de datos conforme al RGPD con hosting en la UE, cumplimiento de las directivas NIS2 y DORA, elaboración de DPIA para operaciones de riesgo y registro auditable de cada cambio. Para las pymes europeas, esto implica documentación verificable, medidas técnicas (2FA, cifrado, políticas de retención) y garantías contractuales frente a los proveedores de TIC — de lo contrario, las sanciones pueden oscilar entre 10.000 EUR y 10 millones EUR o el 2 % de la facturación.
El cloud ERP ha pasado en los últimos cinco años de ser una “alternativa arriesgada” a convertirse en la opción predeterminada incluso en sectores conservadores como la construcción, la manufactura o la sanidad. Pero junto con eso, el marco regulatorio también ha evolucionado: mientras que el RGPD de 2018 fue la “primera ola”, 2026 trae la segunda: NIS2, DORA, AI Act y las directrices reforzadas del CEPD. Este artículo pilar resume todo lo que debe saber una pyme europea antes de seleccionar, implantar y operar un cloud ERP desde la perspectiva de la seguridad y el compliance.
El artículo se divide en diez secciones — desde el marco jurídico, certificaciones, medidas técnicas, audit logs, due diligence de proveedores, hasta ejemplos prácticos de implantaciones reales de Modulario. Al final encontrará un índice con cuatro artículos de clúster dedicados a temas específicos: ISO 27001 para pymes, NIS2 en la práctica, DORA para el sector financiero y DPIA para ERP/CRM.
Por qué 2026 es un año decisivo para la seguridad en cloud ERP
Tres factores confluyen en un mismo horizonte temporal y cambian radicalmente el escenario:
-
Transposición de NIS2. La Directiva NIS2 (UE 2022/2555) fue transpuesta en España mediante la Ley de Seguridad de las Redes e Infraestructuras Digitales y extiende el perímetro regulado de decenas a miles de empresas en toda la UE. Una empresa mediana con 50+ empleados en los sectores de fabricación, transporte, distribución alimentaria o servicios TIC tiene una alta probabilidad de quedar afectada.
-
DORA (Digital Operational Resilience Act). En vigor desde el 17 de enero de 2025. Afecta no solo a bancos y aseguradoras, sino también a sus proveedores TIC third-party — incluidos los proveedores SaaS de ERP/CRM si sirven a entidades reguladas. Esto significa que su proveedor de ERP debe cumplir los requisitos DORA si tiene clientes bancarios o fintech.
-
Directrices del CEPD 2025 + AI Act. El Comité Europeo de Protección de Datos publicó en 2025 nuevas orientaciones sobre sistemas de IA que tratan datos personales, almacenamiento en la nube fuera de la UE y cadenas de suministro. Simultáneamente, el AI Act ha introducido obligaciones para los sistemas de IA de alto riesgo (scoring de RRHH, scoring crediticio) que a menudo forman parte de los módulos ERP.
El resultado: la presión regulatoria en 2026 es considerablemente mayor que en cualquier momento anterior y ignorarla ya no es una estrategia viable. Al mismo tiempo, el ecosistema de proveedores ha madurado — las plataformas ERP nativas de la UE como Modulario ofrecen compliance “out of the box”, lo que supone una solución varias veces más económica que construir infraestructura propia.
Marco jurídico: UE vs. CLOUD Act
El aspecto más subestimado a la hora de elegir un cloud ERP es la jurisdicción del proveedor. Esto no solo afecta al lugar físico donde se ejecutan los servidores, sino también a la sede de la empresa matriz.
CLOUD Act y Schrems II
La CLOUD Act (2018) estadounidense permite a las autoridades federales de EE.UU. exigir a las empresas estadounidenses (incluidas sus filiales europeas) acceso a los datos de sus clientes, independientemente de dónde estén almacenados. Esto significa que aunque AWS Frankfurt aloje sus datos en Frankfurt, Amazon Web Services Inc. en Seattle puede verse legalmente obligada a entregarlos.
El Tribunal de Justicia de la UE confirmó este problema en la sentencia Schrems II (C-311/18) — no existe una protección equivalente para los datos personales de los ciudadanos de la UE cuando se transfieren a EE.UU. Tras la invalidación del EU-US Data Privacy Framework en verano de 2023, la única solución pragmática para los datos críticos es: proveedores nativos de la UE con jurisdicción exclusiva en la UE.
| Escenario | Riesgo CLOUD Act | Compliance RGPD |
|---|---|---|
| Proveedor US + centro de datos US | Alto | Problemático |
| Proveedor US + centro de datos UE (AWS Frankfurt, Azure DE) | Medio | Medio, requiere SCC + TIA |
| Proveedor UE + centro de datos UE | Ninguno | Pleno |
| Proveedor UE + centro de datos UE + ISO 27001 + DPA | Ninguno | Pleno + auditable |
Modulario pertenece a la última categoría — empresa europea, hosting exclusivamente en la UE, certificación ISO 27001, DPA estandarizado.
Por qué esto importa para las pymes europeas
Muchas pymes creen que el CLOUD Act “no les afecta, porque no son un banco”. La realidad es:
- Contratos B2B. Los grandes clientes (Volkswagen, Continental, entidades energéticas, banca) exigen en 2026 una DPA donde el proveedor confirme explícitamente que no está sujeto al CLOUD Act. Sin esto, no superará el vendor due diligence.
- Datos sensibles de empleados. Los datos salariales, sanitarios y de RRHH de ciudadanos de la UE están entre los más estrictamente regulados. Almacenarlos con un proveedor estadounidense sin TIA (Transfer Impact Assessment) constituye una infracción del art. 44–49 del RGPD.
- Regulación sectorial. La administración pública, la sanidad y el sector financiero tienen en 2026 una prohibición de facto del cloud estadounidense para datos primarios.
Para más información sobre cómo Modulario gestiona la jurisdicción exclusiva en la UE, consulte la página de Seguridad y los casos de éxito.
ISO 27001: por qué es hoy el estándar mínimo
ISO/IEC 27001 es la norma internacional para el sistema de gestión de la seguridad de la información (SGSI). Para un proveedor de cloud ERP en 2026 es el billete de entrada mínimo — sin ISO 27001, no entrará en el vendor due diligence de la mayoría de las empresas medianas y de todas las grandes.
Qué significa la certificación en la práctica
ISO 27001 no es solo un papel. Una auditoría real cubre:
- Políticas y procedimientos (114 controles en el Anexo A): desde la incorporación de empleados hasta la gestión de crisis y la retirada de hardware.
- Análisis de riesgos de cada activo (servidor, base de datos, recurso humano, proveedor).
- Medidas técnicas: cifrado, segregación de redes, monitorización, MFA, backup.
- Medidas organizativas: formación, código de conducta, gestión de proveedores, respuesta a incidentes.
- Auditorías periódicas: interna 1 vez al año, auditoría de vigilancia externa 1 vez al año, recertificación cada 3 años.
Modulario obtuvo la certificación ISO 27001 en 2024 y mantiene activamente toda la documentación. Encontrará una descripción detallada del proceso de auditoría, qué supuso para el equipo y qué beneficios aporta a los clientes en el artículo de clúster Qué significa ISO 27001 para una pyme.
Relación entre ISO 27001 y SOC 2
En el entorno estadounidense domina SOC 2 (Service Organization Control), en la UE ISO 27001. Son complementarios — SOC 2 es un informe anual de una firma auditora que evalúa los trust services criteria (seguridad, disponibilidad, confidencialidad, integridad del procesamiento, privacidad), mientras que ISO 27001 es un certificado del sistema. El proveedor ideal tiene ambos; pero para las pymes europeas, ISO 27001 es prioritario, ya que está reconocido internacionalmente en el due diligence B2B europeo.
RGPD en el contexto del cloud ERP
El RGPD (Reglamento UE 2016/679) tiene en el despliegue de cloud ERP varias especificidades que no cubre una lista de comprobación ordinaria.
Roles: responsable vs. encargado del tratamiento
En un sistema ERP/CRM, su cliente es el responsable del tratamiento (controller) y usted como proveedor del ERP es el encargado del tratamiento (processor). Esta relación debe quedar recogida en un DPA (Data Processing Agreement) conforme al art. 28 del RGPD, que especifica:
- el objeto, la duración y la naturaleza del tratamiento,
- los tipos de datos personales y las categorías de interesados,
- las obligaciones del encargado (confidencialidad, medidas técnicas, subencargados, auditorías),
- la lista de subencargados (AWS, Sentry, proveedor de email, etc.) con el consentimiento explícito del responsable.
Modulario proporciona un DPA estandarizado como parte de cada contrato — sin necesidad de negociaciones adicionales con un abogado.
Políticas de retención: novedades en 2026
La normativa fiscal y de archivo española establece plazos diferentes para distintos tipos de datos:
| Categoría de datos | Retención (ES) | Observación |
|---|---|---|
| Facturas, documentos contables | 10 años | Ley del Impuesto sobre Sociedades / normativa fiscal |
| Nóminas y registros de retribución | 50 años | Seguridad Social |
| Contrato laboral, expediente personal | Duración relación laboral + 4 años | Estatuto de los Trabajadores |
| Consentimientos de marketing | Hasta revocación / 24 meses | RGPD + ePrivacy |
| Registros de acceso (audit log) | Mín. 6 meses, recomendado 3 años | NIS2 + sectorial |
| Instantáneas de backup | Según política de retención | Coherente con datos primarios |
El ERP debe permitir el borrado automatizado una vez vencida la retención y al mismo tiempo no eliminar los datos que todavía sean necesarios para cumplir una obligación legal. Modulario gestiona esto mediante políticas de retención configurables a nivel de atributo.
Solicitudes de acceso de interesados (DSAR)
Los arts. 15 a 22 del RGPD otorgan a la persona física el derecho de acceso, rectificación, supresión, portabilidad y limitación. El ERP debe permitir la exportación de todos los datos personales de una persona en formato estructurado en 30 días. En Modulario es una función nativa con registro auditable.
Si desea una lista de comprobación completa de 20 puntos sobre RGPD, consulte Guía de compliance RGPD para pymes.
NIS2: la nueva ola de regulación en ciberseguridad
La Directiva NIS2 (UE 2022/2555) entró en vigor el 16 de enero de 2023 y los Estados miembros tenían hasta el 17 de octubre de 2024 para transponerla al derecho nacional. España la transpuso en su normativa de seguridad de redes e infraestructuras digitales.
A quién afecta NIS2
NIS2 amplía la directiva NIS1 de 2016 de 19 a 18 sectores, divididos en entidades esenciales e importantes. Para las pymes europeas, el cambio clave es:
- Las empresas medianas (50–250 empleados / 10–50 millones EUR de facturación) en los sectores afectados quedan reguladas automáticamente.
- Los sectores incluyen: fabricación, distribución de alimentos, transporte, gestión de residuos, infraestructura digital, servicios TIC, administración pública, sanidad, investigación.
- La excepción para empresas más pequeñas es muy limitada — si es un proveedor “crítico” en una cadena de suministro, no se aplica.
Principales obligaciones
La entidad regulada debe:
- Gestionar los riesgos cibernéticos — evaluación de riesgos, medidas, documentación.
- Implantar medidas técnicas y organizativas: MFA, cifrado, backup, respuesta a incidentes, BCP/DRP, seguridad de la cadena de suministro.
- Notificar incidentes a las autoridades (INCIBE-CERT / CCN-CERT en España) en los plazos de 24h (alerta temprana) / 72h (notificación del incidente) / 1 mes (informe final).
- Gestionar la cadena de suministro — demostrar que sus proveedores TIC clave (incluido el SaaS ERP) aplican medidas adecuadas.
Sanciones: hasta 10 millones EUR o el 2 % de la facturación mundial (entidades esenciales), 7 millones EUR / 1,4 % (entidades importantes). La responsabilidad personal de los directivos queda explícita en NIS2.
Encontrará una explicación detallada de NIS2 para pymes, incluidos los pasos prácticos, en el artículo de clúster Directiva NIS2: obligaciones para las empresas.
DORA: para el sector financiero y sus proveedores TIC
El Reglamento de Resiliencia Operativa Digital (DORA, Reglamento UE 2022/2554) es aplicable desde el 17 de enero de 2025 y se aplica directamente (sin transposición). Afecta a entidades financieras reguladas — bancos, aseguradoras, empresas de inversión, plataformas de criptoactivos, entidades de pago — pero su alcance a través del riesgo de terceros TIC llega también a sus proveedores de SaaS ERP/CRM.
Los cinco pilares de DORA
- Gestión del riesgo TIC — marco integral, responsabilidad a nivel de consejo.
- Gestión de incidentes — notificación, clasificación, coordinación.
- Pruebas de resiliencia operativa digital — incluidas las pruebas de penetración basadas en amenazas (TLPT) para las grandes entidades.
- Gestión del riesgo de terceros TIC — registro de proveedores, funciones críticas, requisitos contractuales.
- Intercambio de información — voluntario, pero fomentado.
Qué significa para el SaaS ERP
Si vende ERP a bancos, aseguradoras o clientes fintech, debe:
- Celebrar contratos con cláusulas DORA explícitas (derecho de auditoría, estrategia de salida, reglas de subcontratación, ubicación de datos).
- Proporcionar entornos de prueba para TLPT y pruebas de resiliencia operativa.
- Disponer de un Plan de Continuidad de Negocio (BCP) y un Plan de Recuperación ante Desastres (DRP) con RTO/RPO definidos.
- Demostrar la localización de datos en la UE.
Para las pymes clientes fuera del sector financiero, DORA no se aplica directamente, pero los proveedores TIC preparados para DORA ofrecen un mayor nivel de madurez, del que también se benefician las empresas no financieras.
Encontrará la lista de comprobación completa de los requisitos DORA en el artículo de clúster Directiva DORA y ERP para el sector financiero.
Audit log: el corazón de la seguridad auditable
Sin audit log no hay compliance con el RGPD, ni notificación NIS2, ni auditoría SOC 2/ISO 27001, ni capacidad forense tras un incidente. El audit log es la columna vertebral técnica de todo lo demás.
Qué debe contener un audit log
Para un cloud ERP, el alcance mínimo incluye:
- Quién — cuenta de usuario (incluidas cuentas API y técnicas).
- Cuándo — marca de tiempo UTC con precisión de segundos, idealmente milisegundos.
- Qué — registro concreto (ID de entidad, atributo), valor antes y después.
- Desde dónde — dirección IP, user agent, ID de sesión.
- Acción — lectura / creación / actualización / eliminación / exportación.
- Resultado — éxito / fallo / autorización denegada.
El audit log debe ser inmutable (o al menos de solo escritura con detección de modificaciones), cifrado y almacenado fuera de la base de datos de la aplicación (típicamente almacenamiento de logs de solo escritura).
Audit log de Modulario
Modulario proporciona un audit log nativo para cada cambio en cada módulo — desde facturación hasta almacén y RRHH. Los registros son accesibles a través de la interfaz de usuario (para administradores) y de la API (para integraciones SIEM). La retención es configurable, por defecto 12 meses.
Ejemplo práctico: si en el módulo Finanzas alguien modifica el importe de una factura tras su emisión, el audit log conserva ambas versiones + la identificación del usuario + la marca de tiempo. En una inspección de IVA o auditoría interna dispone de la trazabilidad completa.
DPIA: cuándo es obligatoria y cómo elaborarla
La Evaluación de Impacto sobre la Protección de Datos (DPIA) conforme al art. 35 del RGPD es obligatoria cuando el tratamiento de datos personales suponga probablemente un alto riesgo para los derechos y libertades de los interesados. En el contexto de ERP/CRM, esto afecta principalmente a:
- Monitorización sistemática de empleados (lectores de control de acceso, sistemas de videovigilancia conectados al módulo de RRHH).
- Tratamiento a gran escala de categorías especiales (datos sanitarios, biometría).
- Toma de decisiones automatizada con efectos jurídicos (scoring de RRHH, scoring crediticio).
- Datos a gran escala de menores o colectivos vulnerables.
- Uso innovador de tecnologías (IA, sensores IoT con identificación de personas).
Estructura de la DPIA
La DPIA debe contener conforme al art. 35.7 del RGPD:
- Descripción sistemática del tratamiento.
- Evaluación de la necesidad y proporcionalidad.
- Evaluación de los riesgos para los interesados.
- Medidas para mitigar los riesgos.
Para la implantación de Modulario ERP/CRM, proporcionamos una plantilla DPIA con controles predefinidos y descripción de medidas técnicas (cifrado, audit log, control de acceso basado en roles, retención). El cliente la complementa con sus especificidades (tipos de tratamiento, base jurídica, interesados).
La guía completa para la DPIA en implantaciones de ERP/CRM + plantilla + errores frecuentes están en el artículo de clúster DPIA para sistemas ERP/CRM.
AI Act y su intersección con el ERP
El Reglamento UE de Inteligencia Artificial (AI Act, 2024/1689) entró en vigor en agosto de 2024 con una aplicación gradual — las prohibiciones de determinadas prácticas aplican desde febrero de 2025, las obligaciones para sistemas de alto riesgo desde agosto de 2026. Para el cloud ERP y CRM con funciones de IA, esto tiene varios impactos directos.
Categorías de riesgo del AI Act
| Categoría | Ejemplos en ERP/CRM | Obligaciones |
|---|---|---|
| Prohibido | Puntuación social de empleados para decisiones de RRHH, identificación biométrica en tiempo real para vigilancia | Prohibición |
| Alto riesgo | Scoring de candidatos con IA, scoring crediticio de clientes, planificación predictiva de turnos | Evaluación de conformidad, registro, monitorización, transparencia |
| Riesgo limitado | Chatbots, resúmenes de documentos con IA, análisis de sentimientos | Transparencia (informar al usuario) |
| Riesgo mínimo | Filtro antispam, categorización automática de productos | Sin obligaciones específicas |
Superposición con la DPIA del RGPD
Para los sistemas de IA de alto riesgo en ERP que tratan datos personales, se requiere una DPIA combinada + evaluación de conformidad con el AI Act. Esto implica documentar no solo los riesgos para los interesados, sino también la documentación técnica del modelo, los conjuntos de datos, el sesgo, la precisión y la robustez.
Módulos de IA de Modulario
Las funciones de IA de Modulario (sugerencias de texto, resumen de documentos, detección de anomalías en contabilidad) están diseñadas como categoría de riesgo limitado — informan al usuario de que el resultado es generado por IA, el usuario siempre puede anularlo. Con esto evitamos la compleja regulación de los sistemas de alto riesgo y el cliente no tiene que realizar una evaluación de conformidad con el AI Act.
Si el cliente requiere un caso de uso de IA de alto riesgo (scoring de RRHH, decisiones crediticias automatizadas), proporcionamos documentación y soporte para la evaluación de conformidad, pero advertimos de la complejidad regulatoria.
Vendor due diligence: cómo elegir un proveedor seguro
Antes de firmar un contrato con un proveedor de cloud ERP, verifique al menos estos puntos:
| Área | Pregunta clave | Respuesta aceptable |
|---|---|---|
| Jurisdicción | ¿Sede de la empresa matriz? | UE |
| Hosting | ¿Dónde están los centros de datos? | UE (DE, FR, NL, PL) |
| Certificaciones | ¿ISO 27001 / SOC 2? | Certificación ISO 27001 activa |
| DPA | ¿Plantilla preparada? | Sí, actualizada para 2026 |
| Subencargados | ¿Lista pública? | Sí + aprobación previa para nuevos |
| Audit log | ¿Nativo? ¿Retención? | Mín. 12 meses, inmutable |
| 2FA / SSO | ¿Obligatorio para administradores? | Sí, soporte SAML/OIDC |
| Cifrado | ¿En reposo + en tránsito? | AES-256, TLS 1.3 |
| Backup / DR | ¿RTO / RPO? | RTO < 8h, RPO < 1h |
| Respuesta a incidentes | ¿SLA de notificación? | < 24h |
| Estrategia de salida | ¿Exportación de datos en formato estándar? | Sí (CSV, JSON, API) |
| RGPD DSAR | ¿Soporte nativo? | Sí, < 30 días |
Consejo: solicite al proveedor un whitepaper de seguridad o un trust center. Si no lo tiene, es una señal de alerta.
Cifrado, claves y zonas de seguridad
El cifrado en 2026 ya es una exigencia básica — ningún proveedor SaaS serio puede ofrecer un despliegue comercial sin cifrado en reposo y en tránsito. Sin embargo, la pregunta ha evolucionado: ¿quién gestiona las claves y cómo?
Cifrado en reposo
En el cloud ERP existen tres modelos prácticos:
- Claves gestionadas por el proveedor (por defecto). El proveedor SaaS gestiona las claves, el usuario no ve su rotación ni almacenamiento. La opción más sencilla, con menos control. Adecuada para el 90 % de las pymes.
- Claves gestionadas por el cliente (BYOK). El cliente genera sus propias claves a través de su KMS (AWS KMS, Azure Key Vault, HashiCorp Vault) y las proporciona al proveedor. Mayor control, pero operación más compleja. Adecuada para sectores regulados.
- Gestión propia de claves (HYOK). El cliente mantiene las claves en su propio HSM, el proveedor se conecta a través de una API segura por petición. Mayor control, pero considerablemente más lento y costoso. Adecuado para casos de uso extremadamente sensibles.
Modulario ofrece por defecto claves gestionadas por el proveedor con AES-256 y rotación transparente cada 90 días. Para clientes regulados, ofrecemos la opción BYOK bajo petición.
Cifrado en tránsito
TLS 1.3 es el mínimo en 2026. TLS 1.0 y 1.1 están obsoletos desde 2020, TLS 1.2 se tolera solo para clientes legacy. Para las comunicaciones internas entre microservicios se utiliza mTLS (TLS mutuo) con rotación de certificados a través de PKI interna.
Modulario utiliza internamente mTLS para todas las llamadas entre servicios y TLS 1.3 para la API externa y la interfaz de usuario. HSTS con preload está activado para todos los dominios públicos.
Cifrado de copias de seguridad e inmutabilidad
Los backups son un objetivo frecuente de los ataques de ransomware — si el atacante cifra los datos primarios y las copias de seguridad, la recuperación resulta imposible sin pagar el rescate. El estándar moderno:
- Copias de seguridad cifradas de igual forma que los datos primarios (a menudo con una clave diferente).
- Almacenamiento inmutable (S3 Object Lock, Azure Immutable Blob) — no se puede eliminar ni modificar durante el período de retención.
- Copias air-gapped — separadas geográfica y de red de la producción.
Arquitectura de backup de Modulario: snapshots completos diarios + incrementales por hora, cifrados con AES-256, replicación multirregión (DE + CZ), retención de 30 días, almacenamiento inmutable durante 7 días.
Identidad, autenticación y autorización
Tres capas que a menudo se confunden, pero que cada una resuelve un problema diferente:
Autenticación (quién eres)
- Contraseña + 2FA (TOTP/WebAuthn) — mínimo para 2026.
- SSO vía SAML 2.0 u OIDC — para despliegues empresariales. Modulario es compatible con Azure AD, Google Workspace, Okta, Keycloak, Auth0, ADFS.
- Passkeys (WebAuthn/FIDO2) — acceso sin contraseña, resistente al phishing. Modulario lo soporta desde 2025.
- Tokens de hardware (YubiKey) — para accesos extremadamente sensibles.
Autorización (qué puedes hacer)
- Control de acceso basado en roles (RBAC) — el usuario tiene un rol, el rol tiene permisos. Estándar para el 95 % de los casos de uso.
- Control de acceso basado en atributos (ABAC) — permisos granulares según atributos (tiempo, ubicación, tipo de registro, etiqueta de sensibilidad). Avanzado.
- Seguridad a nivel de campo — determinados atributos de una entidad son visibles solo para roles seleccionados (p. ej., salarios en el expediente personal).
Modulario implementa RBAC híbrido + permisos basados en atributos a través del módulo Personas, con seguridad a nivel de campo para módulos sensibles (RRHH, finanzas).
Auditoría de identidad
Cada autenticación, autorización y cambio de permisos debe quedar registrado. En un incidente NIS2/DORA, la primera pregunta del regulador es: “¿quién tenía acceso a los datos afectados en ese momento?”
Backup, BCP y DRP: tres conceptos que no son sinónimos
Backup
Copia de los datos almacenada en otro lugar. Sirve para recuperarse de una pérdida (fallo técnico, error humano, ransomware). Se define por dos métricas:
- RPO (Recovery Point Objective) — pérdida de datos máxima tolerable. RPO predeterminado de Modulario < 1 hora (incrementales por hora).
- RTO (Recovery Time Objective) — tiempo máximo tolerable de recuperación. RTO predeterminado de Modulario < 8 horas (típicamente < 2 horas).
Plan de Continuidad de Negocio (BCP)
Plan sobre cómo continuar las operaciones durante y después de un incidente. No solo cubre TI, sino también personas, proveedores, comunicación y procesos alternativos.
Un BCP mínimo para una pyme contiene:
- Lista de procesos críticos y su prioridad de recuperación
- Datos de contacto del personal clave y los proveedores
- Ubicaciones de trabajo alternativas (plan de teletrabajo)
- Plan de comunicación con clientes y reguladores
- Prueba del BCP mínimo 1 vez al año (ejercicio de mesa)
Plan de Recuperación ante Desastres (DRP)
La parte técnica del BCP — cómo recuperar concretamente los sistemas de TI. Para los clientes de cloud ERP, la mayor parte del DRP lo ejecuta el proveedor; el cliente necesita su propio DRP para los sistemas on-premise e integraciones propias.
Modulario realiza pruebas de DR 2 veces al año con documentación de los resultados, que compartimos con los clientes durante las auditorías.
Respuesta a incidentes y forense
Sin un proceso preparado no se cumplirá el plazo de 24 horas de NIS2/DORA, la notificación de 72 horas del RGPD ni el SLA interno con el cliente.
Estructura del proceso de respuesta a incidentes
- Detección — monitorización automatizada (SIEM, detección de anomalías) + comunicaciones manuales (empleados, clientes).
- Triaje — clasificación (gravedad, alcance, categoría).
- Contención — limitación inmediata de la propagación (aislamiento de cuenta comprometida, bloqueo de IP, desactivación del módulo).
- Erradicación — eliminación de la causa raíz (parche, rotación de claves, restablecimiento de cuenta).
- Recuperación — restauración de sistemas y verificación de integridad.
- Revisión post-incidente — análisis de causa raíz, lecciones aprendidas, actualización de medidas.
Capacidad forense
Tras un incidente debe poder responder:
- ¿Cuándo ocurrió? (línea temporal)
- ¿Qué datos se vieron afectados? (alcance)
- ¿Cuál fue la causa? (causa raíz)
- ¿Cómo evitarlo en el futuro? (remediación)
Sin un audit log inmutable con retención suficiente, el análisis forense es imposible. El audit log de Modulario está integrado y es exportable a los sistemas SIEM del cliente (Splunk, Elastic, QRadar).
Comunicación durante un incidente
- Interna — alta dirección, departamento jurídico, comunicación, TI, equipos afectados.
- Frente a reguladores — INCIBE-CERT / CCN-CERT (NIS2), AEPD (RGPD), Banco de España / CNMV (DORA para el sector financiero).
- Frente a clientes e interesados — de forma transparente, a tiempo, según los SLA contractuales y el art. 34 del RGPD.
Disponer de plantillas de comunicación preparadas en el runbook de respuesta a incidentes ahorra horas críticas.
Aplicación práctica: seguridad en Modulario
Para que esto no quede en el plano abstracto, aquí tiene un resumen concreto de cómo Modulario implementa lo anterior:
- Jurisdicción nativa de la UE — sociedad europea, sin subencargados estadounidenses para datos primarios.
- Certificación ISO 27001 — activa desde 2024, re-auditada anualmente.
- Hosting en la UE — Frankfurt + Praga (multirregión para HA), ningún dato fuera de la UE.
- Audit log nativo en cada módulo, retención de 12 meses, configurable.
- Control de acceso basado en roles — permisos granulares a nivel de atributo, roles configurables.
- 2FA / SSO — TOTP, WebAuthn, SAML 2.0, OIDC.
- Cifrado — AES-256 en reposo, TLS 1.3 en tránsito.
- DPA + lista de subencargados — disponibles públicamente, estandarizados.
- Backup — completo diario + incrementales por hora, retención de 30 días, replicación multirregión.
- Soporte DSAR — exportación de datos personales a petición en 30 días desde la interfaz de usuario.
- Políticas de retención RGPD — automatizadas por módulo (facturas 10 años, RRHH según tipo, marketing 24 meses).
Puede encontrar un ejemplo real de implantación en entorno regulado en los casos de éxito.
El coste del (in)cumplimiento: por qué merece la pena la inversión
Las inversiones en seguridad y compliance parecen a primera vista un coste neto. Sin embargo, el cálculo real muestra que el incumplimiento es entre 3 y 10 veces más caro que el cumplimiento. Aquí tiene un ejemplo modelo para una empresa mediana europea (80 empleados, facturación de 12 millones EUR):
| Concepto | Escenario cumplimiento | Escenario incumplimiento |
|---|---|---|
| Implementación + auditoría ISO 27001 | 15.000 EUR / primer año | 0 EUR |
| Proceso RGPD + DPA | 5.000 EUR / año | 0 EUR |
| Auditoría de vigilancia ISO | 3.000 EUR / año | 0 EUR |
| Seguro cibernético | 8.000 EUR / año | 16.000 EUR / año (prima más alta) |
| Formación de empleados | 2.000 EUR / año | 0 EUR |
| Total cumplimiento | 33.000 EUR / año | 16.000 EUR / año |
| Riesgo sanción RGPD (5 % probabilidad) | 0 EUR | 25.000 EUR (multa media × probabilidad) |
| Riesgo sanción NIS2 (3 %) | 0 EUR | 30.000 EUR (valor esperado) |
| Riesgo ransomware (12 %) | 5.000 EUR (recuperación de backup) | 60.000 EUR (tiempo de inactividad + rescate + reputación) |
| Licitaciones perdidas (que requieren ISO/DPA) | 0 EUR | 100.000 EUR / año (modelo: 3 contratos perdidos) |
| Total ajustado por riesgo | 38.000 EUR / año | 231.000 EUR / año |
Una ratio de 6:1 a favor del cumplimiento — y eso sin contabilizar los beneficios intangibles como la reputación, la confianza de los clientes o la capacidad de atraer inversores.
Modulario aporta un ahorro adicional en este modelo — al proporcionar una plataforma certificada ISO 27001 con audit log, hosting en la UE y DPA estandarizado, el cliente no tiene que construir su propia infraestructura y ahorra entre 8.000 y 15.000 EUR anuales en la capa técnica.
Índice de clústeres: profundice en temas específicos
Este artículo pilar cubre una agenda amplia. Si le interesa algún área con más detalle, consulte estos artículos de clúster:
- ISO 27001 para pymes: qué significa — cuándo es obligatoria la certificación, cómo transcurre la auditoría, cómo lo abordamos en Modulario y qué beneficia al cliente.
- Directiva NIS2: obligaciones de las empresas — a quiénes afecta en Europa, obligaciones clave, sanciones, proceso de preparación y relación con ERP/CRM.
- Directiva DORA: sector financiero y ERP — quién debe cumplirla, requisitos para proveedores TIC third-party (incluido SaaS ERP), lista de comprobación práctica.
- DPIA para sistemas ERP/CRM — cuándo es obligatoria, cómo elaborarla para una implantación de Modulario, plantilla, errores frecuentes.
Resumen y recomendaciones
La seguridad y el compliance en cloud ERP en 2026 no son un “nice-to-have” — son un requisito de existencia. La presión llega de todos los lados: reguladores (NIS2, DORA, RGPD), clientes B2B (vendor due diligence), aseguradoras (el seguro cibernético exige pruebas), bancos (DORA a través del riesgo de terceros).
Para las pymes europeas existen tres vías pragmáticas:
- Build: equipo TI propio, on-premise / nube privada, certificación propia. Coste: cientos de miles de EUR anuales. Adecuado solo para grandes empresas con 200+ empleados y datos sensibles.
- Comprar SaaS no europeo: económico, rápido, pero con riesgo CLOUD Act y problemas con el RGPD. Adecuado solo para casos de uso no críticos.
- Comprar SaaS europeo nativo con ISO 27001: la opción más razonable para el 95 % de las pymes. Compliance “out of the box”, costes predecibles, jurisdicción exclusiva en la UE.
Modulario pertenece a la tercera categoría. Si le interesa saber cómo podría alcanzar el estado RGPD + NIS2 en 6–8 semanas en lugar de 6–12 meses, consulte nuestras medidas de seguridad o contáctenos para una consulta gratuita.
Preguntas frecuentes
¿Necesita toda pyme tener ISO 27001? No, ISO 27001 no es obligatoria con carácter general. Sin embargo, se convierte de facto en obligatoria para el comercio B2B con grandes clientes (automoción, banca, administración pública) y en sectores regulados por NIS2. Para las pymes es a menudo más eficiente elegir un proveedor ERP/SaaS que ya tenga ISO 27001 que construirla internamente.
¿Cuál es la diferencia entre NIS2 y DORA? NIS2 es una directiva horizontal de ciberseguridad para 18 sectores de la UE. DORA es un reglamento sectorial solo para el sector financiero, en la práctica más estricto y con impacto directo en los proveedores de TIC. Algunas entidades quedan bajo ambos, siendo DORA la norma prevalente (lex specialis).
¿Me basta con un cloud ERP con hosting en la UE para cumplir el RGPD? El hosting en la UE es condición necesaria, pero no suficiente. Además necesita: DPA con el proveedor (art. 28 RGPD), lista de subencargados, políticas de retención, audit log, soporte DSAR, medidas técnicas (cifrado, 2FA, RBAC) y medidas organizativas. Idealmente también la certificación ISO 27001 del proveedor.
¿Cuándo necesito una DPIA para implantar un nuevo módulo ERP? Siempre que el nuevo módulo suponga un riesgo elevado: tratamiento de categorías especiales a gran escala, monitorización sistemática de empleados, toma de decisiones automatizada, o tecnologías innovadoras (scoring de IA, biometría). Para módulos estándar de contabilidad o almacén, la DPIA normalmente no es obligatoria. Consulte el artículo de clúster sobre DPIA.
¿Cuáles son las sanciones máximas en 2026? RGPD: 20 millones EUR o el 4 % de la facturación mundial. NIS2: 10 millones EUR o el 2 % (entidades esenciales), 7 millones EUR o el 1,4 % (importantes). DORA: hasta el 1 % del volumen de negocio diario durante hasta 6 meses. AI Act: 35 millones EUR o el 7 % para prácticas prohibidas. Más responsabilidad personal de los directivos en NIS2 y DORA.