11 de septiembre de 2026 EU confirmed
11 de septiembre de 2026: arranca el reporte obligatorio del Cyber Resilience Act para productos con elementos digitales
Desde el 11 de septiembre de 2026 comienza a aplicar el Cyber Resilience Act (Reglamento (UE) 2024/2847) en su primera fase operativa: el reporte obligatorio de vulnerabilidades activamente explotadas y de incidentes graves de ciberseguridad para los productos con elementos digitales. Es el primer plazo duro del CRA y afecta a cualquier fabricante que comercialice hardware o software conectado en la UE, con el resto de obligaciones del reglamento desplegándose por fases posteriores. En paralelo, los Estados miembros avanzan la transposición de NIS2 con plazos nacionales propios — Alemania, por ejemplo, fijó obligaciones de registro a inicios de 2026 bajo su ley de implementación, con actividad supervisora creciente durante el año.
2 de agosto de 2026 EU confirmed
2 de agosto de 2026: el plazo ancla del AI Act — transparencia, régimen sancionador y el alto riesgo en suspenso condicionado
El 2 de agosto de 2026 es la fecha ancla del calendario del AI Act: aplican las obligaciones de transparencia para nueva IA generativa (etiquetado de contenido) y el régimen sancionador con multas de hasta 35 millones de euros o el 7% de la facturación global. Para el alto riesgo, la fecha opera en modo condicional: si el Omnibus IA acordado el 7 de mayo se publica en el Diario Oficial antes, el Anexo III pasa al 2 de diciembre de 2027 y el Anexo I al 2 de agosto de 2028; si no, las obligaciones originales aplican tal como están escritas. La consulta pública sobre la metodología de clasificación de alto riesgo —que gobierna qué sistema cae en qué casilla— cierra el 23 de junio de 2026, de modo que las empresas deben planificar contra dos calendarios paralelos mientras la pieza clasificatoria sigue abierta.
7 de mayo de 2026 EU confirmed
Acuerdo político del Omnibus IA: Anexo III a dic-2027, Anexo I a ago-2028, y nueva prohibición de 'nudifiers' y CSAM
El 7 de mayo de 2026, Parlamento y Consejo alcanzaron el acuerdo político provisional sobre el Omnibus Digital de IA (sobre la base del documento del Consejo 9247/26): las obligaciones de alto riesgo del Anexo III (sistemas autónomos: biometría, RR.HH., scoring crediticio, aplicación de la ley) se aplazan al 2 de diciembre de 2027 (+16 meses) y las del Anexo I (IA embebida en productos regulados, como dispositivos médicos) al 2 de agosto de 2028; el etiquetado de contenido generado por IA del Art. 50(2) pasa al 2 de diciembre de 2026 y los sandboxes nacionales al 2 de agosto de 2027. El acuerdo introduce además en el Artículo 5 una nueva prohibición de la imaginería íntima no consentida generada por IA ('nudifiers') y del material de abuso sexual infantil. Clave operativa subrayada por los despachos: los cambios solo surten efecto con la adopción formal y la publicación en el Diario Oficial, esperadas antes del 2 de agosto de 2026 — fecha que mientras tanto SIGUE SIENDO un plazo de cumplimiento activo. El régimen de transparencia para nueva IA generativa arranca en agosto de 2026 y, según el seguimiento sectorial, el 78% de las empresas medianas seguía sin estar preparada, con sanciones de hasta 35 millones de euros o el 7% de la facturación global.
28 de abril de 2026 EU confirmed
Segundo trílogo del Omnibus IA termina sin acuerdo: el 2 de agosto de 2026 sigue siendo la fecha vigente
El segundo trílogo político entre Parlamento, Consejo y Comisión sobre el Omnibus Digital de IA terminó el 28 de abril de 2026 sin acuerdo, tras la aprobación del Parlamento del 26 de marzo (569 votos a 45). La consecuencia operativa, subrayada por los despachos: si el Omnibus no se adopta formalmente antes del 2 de agosto de 2026, las disposiciones originales del AI Act —incluidas las obligaciones de alto riesgo y su calendario— aplican desde esa fecha tal como están escritas; las organizaciones que despliegan IA en contextos como el empleo debían seguir preparándose contra el plazo vigente. La lección estructural para los responsables de cumplimiento: un aplazamiento anunciado no es un aplazamiento adoptado.
18 de marzo de 2026 EU confirmed
Omnibus I en vigor: la Directiva 2026/470 reescribe de un día para otro los calendarios de CSRD y CSDDD
El Omnibus I de simplificación entró en vigor el 18 de marzo de 2026 mediante la Directiva (UE) 2026/470, que modifica la CSRD (informes de sostenibilidad) y la CSDDD/CS3D (diligencia debida): las pymes cotizadas quedan fuera del alcance obligatorio de la CSRD y el despliegue por fases de la CS3D queda abolido. El cambio invalidó los calendarios de cumplimiento que las empresas habían construido a inicios de año: según el seguimiento sectorial, Bruselas movió más plazos de cumplimiento en el primer trimestre de 2026 que en los dos años anteriores juntos.
19 de noviembre de 2025 EU confirmed
Omnibus Digital sobre IA propuesto: la Comisión plantea aplazar el alto riesgo con mecanismo condicional
La Comisión Europea publicó el 19 de noviembre de 2025 el Omnibus Digital sobre IA (COM(2025) 836), proponiendo aplazar las obligaciones de alto riesgo del AI Act desde el 2 de agosto de 2026 con un mecanismo condicional: aplicarían a los 6 meses (Anexo III) o 12 meses (Anexo I) de que la Comisión confirme que existen medidas de apoyo al cumplimiento suficientes (normas armonizadas y especificaciones comunes), con fechas tope de 2 de diciembre de 2027 (Anexo III) y 2 de agosto de 2028 (Anexo I). El borrador planteaba además un periodo de gracia hasta el 2 de febrero de 2027 para el etiquetado de contenido generado por IA (Art. 50(2)) en sistemas comercializados antes de agosto de 2026, y atenuaba las obligaciones de alfabetización en IA. Motivo declarado: los retrasos en la designación de autoridades nacionales y en la finalización de normas armonizadas.