Tsunami regulatorio tecnológico: plazos y decisiones clave para las pymes en 2026

Los cambios normativos en facturación, registro horario, ciberseguridad e IA empujan al tejido empresarial español a actuar ya

La obligación legal como palanca estratégica para la transformación digital. Portal ERP España.

El tejido empresarial español atraviesa un periodo de intensa presión regulatoria tecnológica con impacto especialmente relevante en las pymes: Verifactu, la facturación electrónica, la IA Act y la directiva NIS2 marcan la agenda de los próximos meses. El 'Reform Barometer 2025' de BusinessEurope refleja la percepción extendida entre las empresas europeas de que la normativa frena la inversión; la realidad operativa en España, sin embargo, dicta que esta transformación es ante todo un factor de supervivencia. Con todo, la obligación legal puede convertirse en palanca estratégica: las empresas que anticipen estos cambios no solo evitarán sanciones, sino que obtendrán sistemas más modernos, procesos más eficientes y una trazabilidad robusta.

La dispersión de plazos y la complejidad técnica no admiten ya una respuesta pasiva: la inacción ya no es una opción. Las empresas que se adapten correctamente reforzarán su gobernanza de datos y, en última instancia, ganarán competitividad en el proceso. A comienzos de marzo de 2026, este es el escenario:

Verifactu y facturación electrónica: el software hay que revisarlo ya

Verifactu, el sistema de facturación inalterable exigido por la Ley Antifraude, cuenta con un nuevo calendario de implantación tras la publicación del Real Decreto-ley 15/2025. Aunque los plazos para las empresas se han prorrogado hasta el 1 de enero de 2027 —y hasta el 1 de julio de ese mismo año para autónomos—, la obligación para la industria del software ya es efectiva desde julio de 2025: los desarrolladores y comercializadores de soluciones de facturación ya deben cumplir con los requisitos técnicos establecidos por la normativa.

La prórroga no es una señal para posponer la decisión. Las sanciones por usar software no conforme pueden llegar a 50.000 euros por ejercicio para el usuario, y la AEAT no publicará ningún listado de software validado: es el propio fabricante quien debe emitir una declaración responsable de cumplimiento. La pregunta que debe hacerse el director financiero o el gerente ahora mismo es: ¿me ha confirmado mi proveedor que su software ya cumple con Verifactu y qué implicará para mí la actualización?

Te puede interesar: Factura Electrónica en Europa: cumplimiento y eficiencia en empresas multinacionales

Por otro lado, la facturación electrónica B2B —la que obliga a emitir y recibir facturas en formato digital entre empresas, derivada de la Ley Crea y Crece— avanza por una vía distinta y con algo más de incertidumbre. El reglamento de desarrollo que debe fijar los plazos concretos aún no se ha publicado en el BOE; en 2025 se abrió una segunda ronda de audiencia pública pero sin texto definitivo. Una vez aprobado, las empresas con facturación superior a 8 millones de euros tendrán 12 meses para adaptarse; el resto, 24 meses. En la práctica, la obligatoriedad generalizada para la mayoría de pymes no llegaría antes de 2028. Aun así, quien tenga clientes grandes en sectores ya adaptados conviene que empiece a explorar qué solución utilizará, porque los plazos del cliente marcan el ritmo real.

Registro horario digital: la norma está más cerca de lo que parece

El control horario es obligatorio en España desde 2019, pero la normativa actual todavía admite registros en papel. El Ministerio de Trabajo lleva meses impulsando un Real Decreto que lo prohibiría y exigiría software con registros inamovibles, donde cualquier corrección deje rastro técnico. Actualmente, el texto se encuentra en el Consejo de Estado, con tramitación urgente decretada. El secretario de Estado de Trabajo ha declarado que confía en que el decreto pueda aprobarse en Consejo de Ministros dos o tres semanas después de que el Consejo de Estado emita su dictamen.

Lo que sí está claro es hacia dónde va la norma: software obligatorio, sin papel ni hojas de cálculo, con trazabilidad de modificaciones, y sin biometría como sistema único. Para el responsable de RRHH o el gerente, la decisión práctica no es esperar a la publicación en el BOE, sino evaluar si el sistema actual cumplirá estos requisitos cuando llegue la obligación. Cambiar de sistema a última hora suele ser más costoso y disruptivo que hacerlo con margen.

IA Act y Data Act: obligaciones vigentes que muchas empresas desconocen

El Reglamento europeo de Inteligencia Artificial (IA Act) no es una norma futura, aunque muchas empresas aún lo crean. Desde febrero de 2025 están prohibidas en la UE varias prácticas de riesgo inaceptable, como la puntuación social o la manipulación subliminal, y es obligatorio que cualquier empresa —sin importar su tamaño— garantice una alfabetización mínima de su personal en el uso y riesgos de la IA. Las sanciones ya se aplican y pueden alcanzar 35 millones de euros o el 7% de la facturación mundial en los casos más graves. En agosto de 2026 entrarán en vigor las obligaciones para los sistemas de alto riesgo, por lo que las compañías deben empezar por inventariar qué herramientas de IA utilizan —desde CRMs con scoring hasta generadores de contenido— y clasificar su nivel de riesgo para cumplir con el reglamento.

En paralelo, el Data Act, aplicable desde septiembre de 2025, abre una oportunidad poco explorada por las pymes: los fabricantes de maquinaria conectada e IoT ya no pueden bloquear el acceso a los datos generados por el uso de sus productos. Esto permite a empresas que operan con equipos industriales o flotas conectadas reclamar información operativa antes inaccesible y aprovecharla para optimizar procesos, mejorar negociaciones de mantenimiento o desarrollar nuevos servicios basados en datos.

Transparencia retributiva: junio de 2026 como fecha límite real

La Directiva europea sobre transparencia retributiva, que obliga a las empresas a hacer públicos los rangos salariales y a garantizar que los trabajadores puedan conocer los niveles retributivos medios por categoría, debe transponerse antes del 7 de junio de 2026. España no ha iniciado formalmente ese proceso, lo que significa que si no se aprueba una ley nacional antes de esa fecha, la directiva sería de aplicación directa.

Para el responsable de administración o RRHH, esto implica revisar ahora si el ERP o el software de nóminas permite generar informes de brecha salarial de forma automatizada. Publicar rangos salariales sin haber auditado previamente la estructura retributiva interna puede exponer inconsistencias que generen conflictos o reclamaciones. Junio de 2026 está a tres meses.

NIS2: sin ley nacional, pero con presión real desde la cadena de suministro

La DirectivaNIS2, que establece requisitos mínimos de ciberseguridad para empresas de sectores críticos y sus cadenas de suministro, debía transponerse antes del 17 de octubre de 2024, pero aún no se ha publicado en el BOE. El Consejo de Ministros aprobó en enero de 2025 el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, pero, a marzo de 2026, el texto todavía no ha sido remitido al Congreso. La demora ya ha tenido consecuencias institucionales: la Comisión Europea abrió un procedimiento de infracción en noviembre de 2024 y envió a España un dictamen motivado el 7 de mayo de 2025, paso previo a un posible recurso ante el Tribunal de Justicia de la UE.

Para la mayoría de pymes la presión no vendrá del regulador sino de sus clientes. Las grandes empresas y entidades públicas en sectores críticos —energía, transporte, banca, sanidad— ya están exigiendo a sus proveedores que acrediten medidas de gestión de riesgos de ciberseguridad, y una pyme que forme parte de esa cadena puede perder contratos antes de que la ley española esté aprobada. El riesgo comercial inmediato puede ser más determinante que el sancionador. La decisión práctica es evaluar si la empresa tiene documentadas sus políticas de seguridad, gestión de incidentes y control de accesos.

En paralelo, el Reglamento europeo de Ciberresiliencia (CRA) —de aplicación directa en toda la UE, sin necesidad de transposición nacional— introduce obligaciones para fabricantes, importadores y distribuidores de productos con componentes digitales, desde dispositivos IoT hasta software empaquetado. Aunque su aplicación plena no llega hasta diciembre de 2027, desde septiembre de 2026 será obligatorio notificar vulnerabilidades activamente explotadas e incidentes graves. Las pymes que fabriquen o distribuyan este tipo de productos deben identificar ya si el CRA les aplica y qué cambios exigirá en sus procesos de desarrollo y soporte.

El momento de decidir

Mirado en conjunto, el calendario tiene una lógica clara para priorizar. La transparencia retributiva vence en junio de 2026 y requiere acción inmediata. La alfabetización en IA y el inventario de herramientas es una obligación vigente que no puede seguir posponiéndose. La revisión del software de facturación para Verifactu debe hacerse ahora, aunque la obligación llegue en 2027. El registro horario digital puede llegar antes de lo previsto: la norma está en la recta final de tramitación y conviene no esperar a la publicación en el BOE para evaluar el sistema actual.

Para las pymes, el denominador común de todas estas normativas es el mismo: requieren que alguien con autoridad en la empresa tome decisiones sobre sistemas y proveedores, no solo que el departamento de administración acumule información. El software de gestión —ERP, facturación, RRHH— deja de ser una herramienta operativa para convertirse en la columna vertebral del cumplimiento normativo. Elegirlo bien, o actualizar el actual, es hoy una decisión estratégica.