/ Marzo-Abril 2026 48 Resiliencia de Entidades Críticas En seguridad, existe una paradoja que es incómoda pero evidente: las normativas que más ayudan a proteger las infraestructuras críticas también pueden empobrecerlas si se convierten en el único horizonte. Los marcos normativos no nacieron para sustituir el criterio del CISO, del responsable de seguridad o del integrador; nacieron para fijar un suelo común sobre el que construir sistemas más robustos y resilientes, capaces de hacer frente a amenazas cada vez más sofisticadas. El error empieza cuando ese suelo se interpreta como si fuera el techo y se limita la seguridad a lo que exige la normativa, sin ir más allá. Regulación: imprescindible La necesidad de regulación no se explica por una moda regulatoria, sino por la transformación del riesgo. ENISA (European Union Agency for Cybersecurity) señala en su Threat Landscape 2025 que, tras analizar 4.875 incidentes en un periodo de 12 meses, el 53,7 por ciento de los ataques han sido dirigidos a infraestructuras esenciales, siendo la Administración Pública, el sector transporte, la infraestructura digital y el sector financiero las verticales que más ataques registraron. Esto evidencia un creciente interés de los delincuentes por desestabilizar las infraestructuras críticas, siendo plenamente conscientes de la interoperabilidad que las caracteriza. No buscan atacar un sector específico, sino hacer tambalear todo el sistema sobre el que se sustenta nuestra sociedad. En este contexto, la Directiva NIS2 es la respuesta de la Unión Europea para hacer frente a esta amenaza. La directiva amplía el ámbito de aplicación, endurece las medidas y fija obligaciones de gestión de riesgos y notificación de incidentes para entidades esenciales e importantes, además de alinearse con la lógica de resiliencia de la Directiva CER. En España, el Esquema Nacional de Seguridad (ENS) cumple una función complementaria y especialmente útil: establece un marco de gobernanza que define roles y responsabilidades en la organización. Visto así, la regulación no es un ejercicio burocrático; es la arquitectura mínima exigible para un riesgo que ya es sistémico. El valor del ‘compliance’ Cuando se aplica con criterio, el compliance aporta algo muy concreto y valioso: estructura. Obliga a nombrar responsables, formalizar decisiones, documentar dependencias, revisar terceros, ordenar procesos de reporte y, sobre todo, sentar a la misma mesa a perfiles que, en muchas ocasiones, siguen hablando en lenguajes distintos. Ese efecto, que a veces parece administrativo, es, en realidad, profundamente técnico, porque reduce la ambigüedad y convierte la seguridad en un asunto transversal a toda la organización. En otros casos, la normativa no crea seguridad por sí sola, pero sí hace algo decisivo: convierte la seguridad en una responsabilidad ejecutiva y no en una aspiración técnica secundaria. Y, a veces, ese cambio de estatus es el que desbloquea decisiones que llevaban años posponiéndose. Ahora bien, conviene decirlo con claridad: las normativas plantean unas bases muy estrictas, pero no recogen la totalidad de los riesgos que pueden desestabilizar las infraestructuras críticas y, por supuesto, no equivalen a inmunidad técnica frente a todos los ataques posibles. Recordemos que la seguridad evoluciona a una velocidad vertiginosa y que las normativas requieren un tiempo prudencial para implementarse. Aunque aportan un marco de actuación más que sólido, marcan el camino y la dirección a seguir, pero no lo recorren por las organizaciones. Esa responsabilidad siempre recaerá sobre ellas. Tomemos las normativas vigentes como suelo, no como techo Ignacio Rojo Director de Negocio de Dorlet Security
RkJQdWJsaXNoZXIy MTI4MzQz