Verificación de cumplimiento normativo
Resumen
Este skill evalúa el proyecto contra tres marcos regulatorios europeos fundamentales: RGPD (protección de datos), NIS2 (ciberseguridad de infraestructuras) y CRA (Cyber Resilience Act, seguridad de productos con elementos digitales). El resultado es un informe de conformidad con el estado actual del proyecto frente a cada requisito y las acciones necesarias para alcanzar el cumplimiento.
No se trata de un dictamen jurídico, sino de una evaluación técnica que identifica las lagunas y orienta las acciones de desarrollo necesarias.
Proceso
-
Determinar qué normativas aplican. No todos los proyectos están sujetos a las tres:
- RGPD: aplica si el software trata datos personales de personas en la UE.
- NIS2: aplica si la organización opera en sectores críticos o es proveedor de servicios digitales.
- CRA: aplica a productos con elementos digitales comercializados en la UE (incluyendo software open source con uso comercial).
-
Checklist RGPD:
- Base jurídica para el tratamiento de datos (consentimiento, interés legítimo, contrato, etc.).
- Minimización de datos: solo se recogen los datos estrictamente necesarios.
- Evaluación de impacto (DPIA) para tratamientos de alto riesgo.
- Registro de actividades de tratamiento documentado.
- Derecho de acceso: el usuario puede consultar sus datos.
- Derecho de rectificación: el usuario puede corregir sus datos.
- Derecho al olvido: el usuario puede solicitar la eliminación de sus datos.
- Portabilidad: el usuario puede exportar sus datos en formato estándar.
- Notificación de brechas en 72 horas.
- Cifrado de datos personales en tránsito y en reposo.
- Delegado de Protección de Datos (DPO) designado si aplica.
-
Checklist NIS2:
- Gestión de riesgos de ciberseguridad documentada.
- Política de seguridad de la información aprobada por la dirección.
- Notificación de incidentes: alerta temprana en 24h, informe completo en 72h.
- Seguridad de la cadena de suministro: evaluación de proveedores.
- Gobernanza: responsabilidades de ciberseguridad asignadas.
- Plan de continuidad de negocio y recuperación ante desastres.
- Formación en ciberseguridad para el personal.
- Gestión de vulnerabilidades y actualizaciones.
- Autenticación multifactor para accesos críticos.
-
Checklist CRA (Cyber Resilience Act):
- SBOM (Software Bill of Materials) generado y mantenido.
- Actualizaciones de seguridad disponibles durante todo el ciclo de vida.
- Diseño seguro por defecto (secure by default).
- Documentación técnica del producto disponible.
- Gestión de vulnerabilidades con proceso de reporte.
- Notificación de vulnerabilidades activamente explotadas en 24h a ENISA.
- Evaluación de conformidad (autoevaluación o certificación según categoría).
- Marcado CE para productos conformes.
-
Generar informe de conformidad. Para cada requisito: estado (cumple/no cumple/parcial), evidencia, acciones necesarias y prioridad.
Criterios de éxito
- Se han identificado las normativas aplicables al proyecto.
- Cada checklist se ha revisado punto por punto con estado documentado.
- Las acciones necesarias están priorizadas por riesgo e impacto.
- El informe es accionable: un desarrollador puede tomar cada acción y ejecutarla.
- El estado de cumplimiento se ha registrado en la memoria del proyecto.
Paso final: registro en memoria
Registrar el estado de cumplimiento en la memoria del proyecto con memory_log_decision para seguimiento entre sesiones. Esto permite comparar la evolución del cumplimiento a lo largo del tiempo y detectar regresiones normativas.
Nota de versión
Este skill se basa en RGPD (Reglamento 2016/679), NIS2 (Directiva 2022/2555) y CRA (Reglamento 2024/2847). Verificar si han entrado en vigor actualizaciones posteriores a estas referencias antes de dar por válida la evaluación.
Qué NO hacer
- No tratar esta evaluación como sustituto de asesoría legal. Es una evaluación técnica que identifica lagunas, pero las decisiones jurídicas requieren un profesional cualificado.
- No marcar un requisito como cumplido sin evidencia técnica que lo respalde (código, configuración, documentación verificable).
- No ignorar el CRA por tratarse de software open source. El CRA aplica a OSS con uso comercial; la exención solo cubre al software libre sin ánimo de lucro ni actividad comercial.
- No dar por cerrada la evaluación sin documentar los requisitos que no aplican y la justificación de por qué no aplican.