Trescomhub
Blog
Asuntos Públicos
febrero 25, 2025

No es ya la ciberseguridad, es la seguridad integral.

Escrito por Agustín Baeza

Según los últimos datos de INCIBE, en 2023 se gestionaron más de 83.500 incidentes de ciberseguridad en España. De estos, más de 58.000 afectaron a ciudadanos y más de 22.000 a empresas privadas, incluidas pymes, micropymes y autónomos. Además, se identificaron 183.077 sistemas vulnerables en todo el país. En el ámbito de la cibercriminalidad, España se ha posicionado como el octavo país más afectado por ataques de ransomware a nivel mundial en 2024, con un incremento del 11% respecto al año anterior.

Alguien puede pensar que esto tiene que ver con un déficit tecnológico del país, tanto a nivel empresa como ciudadano y en parte así es. Las mismas estadísticas nos dicen que hay una carencia grave en profesionales formados en ciberseguridad, con un déficit estimado en decenas de miles de especialistas.

Pero, en opinión de los grandes expertos en esta materia, lo anterior no deja de ser una mirada incompleta. El problema tiene otro nombre: cultura de seguridad. Hasta ahora, estos asuntos los hemos dejado en manos de los departamentos de IT de las organizaciones, a quienes acudimos cuando se nos cuela un virus o se nos bloquean los servidores o cualquier otro tipo de cuestión de este tipo.

El verano pasado el conocido como “incidente CrowsStrike” provoco una interrupción masiva a nivel global que afectó a millones de dispositivos Windows. El fallo generó la temida «pantalla azul de la muerte», bloqueando equipos y causando estragos en diversos sectores. Y no fue debido a un ciberataque sino a un error en una actualización de software de dicha compañía.

Sirva este ejemplo para describir por qué hemos de pasar de la tradicional cultura de la seguridad física, o de la más reciente cultura de la ciberseguridad, a una cultura de seguridad integral. Y eso implica no sólo al departamento de seguridad y/o al de IT, sino que un asunto de estrategia y de gestión global de la organización. Es decir, el máximo responsable de ello es el consejo de administración, la junta directiva o finalmente el líder de la organización.

Las normas que la Unión Europea está elaborando desde hace años van en dicha dirección. Las directivas NIS2 y CER, el Reglamento DORA y otras normas apelan en su espíritu y en su letra a un concepto clave: la resiliencia de las organizaciones frente a los problemas derivados de la seguridad y la ciberseguridad.

O dicho otra forma: se asume que más tarde o más temprano todas las empresas y organizaciones van a sufrir incidentes de este tipo y lo que tienen que hacer es estar preparadas ex ante, durante y ex post de que estos incidentes tengan lugar, de forma que puedan mantener las operaciones de sus negocios y actividades.

Hay un salto cualitativo importante: la NIS2 establece una obligación de “vigilancia y diligencia debida” de las empresas que la norma considera esenciales, no sólo a su propia actividad sino a todas las empresas de su cadena de suministro. La gestión del número de proveedores y la concentración de riesgos en todos ellos son aspectos que deben formar parte de la estrategia global de la organización en esta visión de seguridad integral.

Estas normativas no sólo buscan proteger los sistemas críticos y las infraestructuras esenciales, sino también armonizar los estándares de ciberseguridad en toda la Unión Europea. La Directiva NIS1, implementada en 2016, fue el primer marco europeo para mejorar la ciberseguridad, pero su alcance limitado y aplicación desigual evidenciaron sus deficiencias. La nueva Directiva NIS2, que entró en vigor en octubre de 2024, amplía significativamente su ámbito de aplicación y establece requisitos más estrictos:

  • Ampliación del alcance: Ahora incluye sectores adicionales como energía, transporte, salud e infraestructura digital.
  • Requisitos mínimos de seguridad: Introduce medidas obligatorias como análisis de riesgos, gestión de incidentes y continuidad operativa.
  • Armonización normativa: Busca homogeneizar las leyes nacionales para evitar discrepancias entre Estados miembros.
  • Sanciones más severas: Las multas pueden alcanzar hasta el 2% de la facturación global anual para las entidades esenciales.

 

El Reglamento DORA (Resiliencia Operativa para el Sector Financiero) que se centra exclusivamente en el sector financiero, entró en vigor el 16 de enero de 2023, aunque se estableció un periodo de transición de dos años que finalizó el pasado día 17 de enero de 2025. A partir de ese momento, todas las entidades financieras de la UE deben cumplir plenamente con los requisitos establecidos en el citado Reglamento. Su objetivo principal es garantizar que las entidades financieras puedan resistir ciberataques sin interrumpir sus operaciones. A diferencia de la NIS2, DORA es directamente aplicable en todos los Estados miembros sin necesidad de transposición nacional. Sus principales características incluyen:

  • Exigir pruebas regulares de resiliencia operativa y análisis de riesgos, incluyéndoselo a sus proveedores externos críticos.
  • Evitar lagunas legales al establecer un marco único para todas las entidades financieras.
  • Las empresas afectadas deben reportar de manera adecuada y estructurada cualquier incidente relacionado con la ciberseguridad que afecte a sus operaciones.

 

Además de NIS2 y DORA, otras regulaciones complementan el ecosistema normativo europeo: la Ley de Ciberresiliencia (CRA), que establece requisitos mínimos para productos digitales conectados, y la Directiva CER, que refuerza la capacidad de recuperación frente a amenazas físicas y digitales para infraestructuras críticas.

Todas ellas constituyen pilares sólidos de la nueva arquitectura de seguridad en Europa. En España, el gobierno aprobó el pasado enero en primera lectura el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad. En estos momentos se encuentra en fase de Audiencia Pública.

En esta futura Ley, el gobierno pretende incorporar al ordenamiento jurídico español la Directiva NIS-2 (aunque debiera hacer lo mismo con la directiva CER, pendiente de trasposición), y regular un marco institucional y la coordinación entre autoridades competentes en materia de ciberseguridad. Sus principales novedades:

  • Crea el Centro Nacional de Ciberseguridad en la Presidencia del Gobierno como órgano de contacto único con la UE en esta materia
  • Establece autoridades de control encargadas de las funciones de supervisión y ejecución.
  • Las entidades afectadas por la ley serán las que tengan residencia fiscal en España o, que, teniendo su residencia en otro estado de la Unión Europea, ofrezcan servicios o desarrollen actividad en España.
  • Las entidades críticas identificadas por la Directiva NIS2 se considerarán por la ley española como entidades esenciales.
  • Estas entidades son las que están en los siguientes sectores críticos: energía, transporte, banca y mercados financieros, sector sanitario, agua, infraestructuras digitales y servicios tecnológicos, entidades de la administración pública e industria nuclear.  Aunque también habla de otros sectores menos críticos.
  • Se creará la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes.
  • La ley crea la figura del responsable de la Seguridad de la Información como persona u órgano designado por las entidades encargado de las funciones de punto de contacto y de coordinación técnica.
  • Define un régimen de supervisión específico para entidades esenciales e importantes. Establece un régimen sancionador con infracciones y sanciones.

 

Las empresas y organizaciones deben hacer frente a esta complejidad normativa, lo cual implica: por un lado, adaptarse a nuevos requisitos que ineludiblemente llevarán aparejados nuevas inversiones y costes, pero que abren nuevas oportunidades en términos estratégicos para posicionarse ante clientes y proveedores como organizaciones que tienen altos estándares de seguridad integral, y por otro, competir en unos mercados que serán cada vez más exigentes en esta materia. La clave estará en adoptar un enfoque proactivo que combine tecnología avanzada con una cultura organizacional centrada en la seguridad.

Todo ello supone un desafío en términos de Asuntos Públicos, Estrategia y Operativa. Como solemos decir cuando hablamos de Asuntos Públicos, en realidad siempre estamos hablando de Estrategia Empresarial. Y en este caso es más que evidente.

Compartir en
Volver a Blog

MÁS TRESCOMHUB?

Informes
Blog
Blog

Aviso Legal

Política de Privacidad

Política de Cookies

Canal ético

Agente Digitalizador

Linkedin-in X-twitter Instagram Facebook-f Youtube
Linkedin-in X-twitter Instagram Facebook-f Youtube
Agencia
Servicios
Comunicación & PR
Digital
Estudio creativo
Eventos
Asuntos públicos
Comunicación interna
Portfolio
Tendencias
Conectar
Rellena el siguiente formulario para descargar este informe
Por favor, activa JavaScript en tu navegador para completar este formulario.
Nombre
RGPD
Puedes consultar nuestra política de privacidad haciendo clic aquí.
Descargar informe