Entrevista promoción de espacios de trabajo sobre cuestiones regulatorias y operativas de especial impacto para el usuario. Como señala, CEUSS aglutina a grandes empresas, muchas de ellas consideradas críticas o estratégicas. ¿Cuáles son las principales preocupaciones en relación con su protección frente a las amenazas actuales? Creo que el principal rasgo del entorno operacional actual es la complejidad. La tipología de las amenazas ha evolucionado hacia modelos híbridos, mucho más dinámicos y de difícil encasillamiento en categorías tradicionales. Las organizaciones nos enfrentamos a escenarios donde convergen riesgos físicos, cibernéticos, medioambientales, reputacionales, etcétera, en un contexto geopolítico de sobra conocido, con potenciales impactos de alta afectación sobre nuestros procesos y las cadenas de suministro. En este contexto, una de nuestras principales preocupaciones es la capacidad de anticipación. La gestión de la seguridad ya no puede limitarse a reaccionar ante incidentes, sino que debe orientarse a prever escenarios, identificar vulnerabilidades y fortalecer la resiliencia organizativa. Esto nos obliga a mejorar las capacidades de análisis de la información, la generación de inteligencia de calidad y la integración de la seguridad en los procesos de toma de decisiones de nuestras organizaciones. Además, crece nuestra preocupación por las interdependencias entre operadores y la creciente dependencia de terceros. Las recientes disrupciones que hemos sufrido ya no se producen de forma aislada, sino que se propagan rápidamente entre sectores. Esto nos obliga a adoptar una visión sistémica del riesgo, al mismo tiempo que sitúa la resiliencia operativa como un elemento central en nuestras agendas. CEUSS representa a las empresas que contratan la seguridad. ¿Hasta qué punto el usuario es el gran olvidado del debate regulatorio en España? ¿Por dónde pasan las soluciones? El debate regulatorio está muy centrado en los proveedores de servicios, los fabricantes de tecnología, etcétera, mientras que el punto de vista del usuario tiene una presencia más que limitada. Sin embargo, es el usuario quien finalmente integra las soluciones, asume el riesgo, responde ante incidentes...; en definitiva, quien soporta sus consecuencias operativas, económicas y reputacionales. Por ello, consideramos imprescindible nuestra participación activa. Podemos afirmar que el usuario está infrarrepresentado en el contexto normativo. A mi entender, esto no responde a una exclusión intencionada, sino a una inercia del propio sector. No obstante, el contexto actual hace evidente la necesidad de revisar este enfoque. La solución pasa por estructurar un modelo de diálogo más equilibrado, en el que todas las partes –Administración, usuario, proveedores, fabricantes, etc.– participemos de manera coordinada. El usuario puede aportar una visión operativa fundamental para definir estándares realistas, evitar sobrecargas regulatorias innecesarias y garantizar que las obligaciones sean aplicables en entornos complejos. Precisamente por eso, CEUSS viene actuando como canal de transmisión de propuestas e inquietudes de los usuarios ante las administraciones y organismos competentes. En definitiva, se trata de evolucionar hacia una gobernanza más inclusiva y orientada a resultados. Pero, sinceramente, no soy muy optimista. El proyecto de Ley de Protección y Resiliencia de Entidades Críticas redefine el modelo actual. ¿Qué medidas son más relevantes y qué aspectos deberían mejorarse? Creo que el proyecto de ley representa un avance significativo al introducir un enfoque centrado en la resiliencia: asegurar la prestación del servicio esencial de la infraestructura crítica por parte de la entidad crítica, que va más allá del enfoque de protección de infraestructuras críticas propio de la Ley PIC. Este cambio de paradigma es especialmente relevante, ya que incorpora la prevención, protección, respuesta, mitigación, resistencia, absorción, adaptación y recuperación como elementos esenciales e integrados. Este nuevo enfoque se ve enriquecido con el reconocimiento de las interdependencias entre sectores, que refleja de forma más fiel la realidad de nuestros procesos y de las cadenas de suministro que les dan soporte. No obstante, desde la perspectiva del usuario, es necesario profundizar en algunos aspectos: los umbrales de los efectos perturbadores significativos, el alcance del plan de resiliencia, la periodicidad de la auditoría de certificación, la definición del área de seguridad... Necesitamos tener claridad en la implementación de esta ley. Las organizaciones necesitamos criterios homogéneos para poder planificar la ingente inversión en recursos que nos exigirá la adecuación a la nueva ley. Asimismo, una vez más –y en este caso aún más–, la coordinación será determinante para el éxito del modelo. La colaboración es fundamental para la resiliencia de los operadores. ¿Cómo debe avanzarse en la cooperación público-privada y privado-privada? La coordinación es uno de los elementos más críticos para asegurar la prestación de los servicios esenciales. Las interdependencias entre operadores hacen que, por ejemplo, la gestión del riesgo ya no / Mayo-Junio 2026 55
RkJQdWJsaXNoZXIy MTI4MzQz