La digitalización ha dado pie a oportunidades, pero también a nuevas amenazas que ya no solo afectan a los departamentos de IT. La ciberseguridad se ha convertido en un asunto de seguridad nacional con calado multinivel, abarcando desde el gobierno hasta la ciudadanía, pasando por la esfera privada. En respuesta, la Unión Europea ha puesto en marcha uno de los marcos normativos más ambiciosos de su historia —NIS2, DORA, CER, CA y GDPR— generando un escenario sin precedentes para el tejido empresarial.
Por Redacción, 28 de noviembre de 2025
Esta situación se ha visto especialmente marcada con la Directiva NIS2. Tanto es así, que en España, el anteproyecto de Ley de Gobernanza y Coordinación de la Ciberseguridad, aprobado por el Consejo de Ministros en enero de 2025, amplía el número de entidades sujetas a cumplir de unas 200 a más de 10.000.
En este contexto, Trescom ha celebrado un foro de debate con el fin de arrojar algo de luz sobre las nuevas exigencias regulatorias. Para ello, ha contado con la participación de la Directora General de la Fundación ESYS y miembro del Advisory Group de la Agencia de la UE para la Ciberseguridad – ENISA, Maite Arcos; del Portavoz del Grupo Parlamentario Socialista en la Comisión Mixta Congreso-Senado de Seguridad Nacional, Víctor Javier Ruíz de Diego; y del Portavoz del Grupo Parlamentario Popular en la Comisión de Economía, Comercio y Transformación Digital del Congreso, Mario Cortés, ambos ponentes en la Ponencia sobre análisis de amenazas en el ciberespacio en la era de la Inteligencia Artificial y la Computación Cuántica; así como Isabel Lozano, CEO de Trescom; y Agustín Baeza, analista y consultor de Asuntos Públicos de Trescom.
De sus exposiciones surgen cinco conclusiones para que las organizaciones se adelanten y se alineen con el nuevo marco de ciberseguridad:
1. Liderazgo directivo y cambio cultural: la visión debe ir más allá del mero cumplimiento normativo. No se trata de tachar ítems en un checklist, sino de implementar una gestión integral del riesgo que involucre al consejo de administración y que transforme la cultura organizativa hacia la resiliencia y la prevención.
2. Cargas económicas y operativas: las medidas de mitigación y adaptación implicarán inversión, desde sistemas de seguridad hasta procesos de continuidad operativa.
3. Homogeneidad, coordinación y adaptación: el complejo escenario normativo requiere reducir duplicidades, reforzar la coordinación entre organismos y contemplar diferencias sectoriales y niveles de madurez, ajustando requisitos y procesos según la realidad de cada organización.
4. Talento y formación especializada: es crítico fomentar la formación de profesionales en ciberseguridad, CISO por sus siglas en inglés (ChiefInformation Security Officer), definiendo perfiles, certificaciones y planes de desarrollo. Además, los consejos de administración deben recibir capacitación específica para supervisar riesgos, tomar decisiones informadas y asumir responsabilidades estratégicas en materia de seguridad.
5. El riesgo cero no existe: todas las empresas son susceptibles a incidentes de ciberseguridad. Aunque algunos actores no estén directamente obligados por la norma, forman parte de cadenas de suministro y ecosistemas donde la seguridad es un requisito de facto. Por ello, incluso quienes no estén directamente regulados deberán cumplir indirectamente con estándares de ciberseguridad para no quedar fuera de operaciones críticas.
Ambos portavoces parlamentarios han coincidido en que la transposición debe ser obligatoria y eficiente, fruto del consenso y del diálogo con el sector privado. Mientras tanto, en el coloquio abierto entre los directivos de las empresas asistentes han surgido otras preocupaciones, como los riesgos de interoperabilidad y protección de datos en sectores vulnerables y las inseguridades derivadas de terceros en las cadenas de suministro.
En definitiva, la gestión de la ciberseguridad y el cumplimiento normativo requieren de estructuras integradas, proactivas y flexibles, con profesionales altamente capacitados y en diálogo con una sociedad consciente de los riesgos. Con optimismo, este cambio de paradigma puede convertir la seguridad en un habilitador estratégico del crecimiento y la competitividad.
