54 red seguridad cuarto trimestre 2025 monográfico entidades críticas Posiblemente, los más técnicos estén ahora pensando en volcados de memoria, de credenciales o cosas similares y preguntándose qué tiene que ver el dumping con la Directiva NIS2 o la cadena de suministro. Pero es que el dumping del que quiero hablaros es otro muy diferente. Según la Wikipedia, el dumping se define como “la venta a pérdida” y es una práctica de competencia desleal, ya que si se “vende por debajo del precio normal o a precios inferiores al coste” se consigue “eliminar la competencia y adueñarse del mercado”. Seguro que al lector le suena por las no muy lejanas declaraciones de Renfe acusando a sus competidores en la larga distancia de vender bajo coste. Y es que, aunque condenable, es una práctica que no está prohibida. En particular, quería centrarme en el dumping que, en ocasiones, se produce entre países. Quizás el caso más famoso en Europa lo vivimos en materia fiscal con el modelo impositivo tan favorable que Irlanda ha estado aplicando a las empresas tecnológicas (impuesto societario del 2% frente al 35% en España), que ha significado que la mayoría de las sedes europeas de estas empresas se instalasen en suelo irlandés, con la consiguiente atracción de fondos, personal y actividad alrededor de dichas sedes corporativas. En resumen, esta práctica, denominada dumping fiscal, consiste en ofrecer una fiscalidad significativamente más baja que la media del entorno con el objetivo de atraer inversiones, empresas y contribuyentes. ‘Dumping’ en seguridad Entonces, ¿qué es eso del dumping en ciberseguridad? Pues la situación que estamos viviendo en Europa en relación con la trasposición de la Directiva NIS2. Se suponía que uno de los objetivos con los que nacía esta normativa era el de “establecer un nivel elevado y común de ciberseguridad en toda la Unión Europea, reforzando la resiliencia de sectores críticos [...]”. Pero lo que estamos viendo en realidad es que cada país hace la guerra por su cuenta intentando cumplir con la directiva, aunque a su juicio, sin perjudicar a sus empresas con el establecimiento de un marco de medidas de seguridad demasiado exigente que implique inversiones relevantes, afectando a su cuenta de resultados y, por tanto, perjudicando la competitividad de dichas empresas en una economía internacional altamente interconectada (a pesar de algunos). Así vemos, por ejemplo, que los requisitos establecidos en países como Bélgica o Italia son bastante reducidos; y eso ha conducido a que países como España, que partíamos de un enfoque mucho más exigente (recordemos que se hablaba de Esquema Nacional de Seguridad, ENS, categoría media-alta), ahora el planteamiento sea que incluso con un ENS categoría básica y alguna medida adicional (perfil de protección) sea suficiente. En mi opinión, este tipo de situaciones deja en muy mala situación a Europa a la hora de posicionarnos como un player global, pero no deja de reflejar la realidad, y aleja esa quimera inicial de establecer un nivel elevado y común de ciberseguridad (al menos hasta que se publique el Reglamento NIS3). Al margen de consideraciones geopolíticas y desde una perspectiva puramente de especialistas en ciberseguridad, tenemos que aceptar que la Directiva NIS2 no va a suponer un empuje significativo en el incremento de las medidas de seguridad de las empresas afectadas. El motivo radica en que las administraciones no están entendiendo que la mejora en ciberseguridad supone que las empresas que incrementen su nivel de capacidades estarán mejor preparadas para competir en un esceNIS2 y cadena de suministro: el ‘dumping’ en ciberseguridad Antonio Ramos Executive Manager de Leet Security, an Uptime company
RkJQdWJsaXNoZXIy MTI4MzQz