80 red seguridad cuarto trimestre 2025 monográfico entidades críticas Vivimos un momento en el que sectores como la energía, la sanidad, el transporte o las telecomunicaciones se han convertido en objetivos prioritarios para los atacantes. No es casualidad: son servicios esenciales para el funcionamiento del país, y cualquier interrupción puede tener consecuencias graves para la sociedad y la economía. Por eso, la ciberseguridad en este tipo de organizaciones ya no es una cuestión puramente técnica, sino una prioridad estratégica y legal. La Unión Europea decidió ir un paso más allá con la nueva Directiva NIS2, que se suma a otras normas como el Reglamento DORA en el sector financiero o la actualización del Esquema Nacional de Seguridad en España. El mensaje es claro: las entidades esenciales no pueden operar sin una base mínima de ciberseguridad sólida. La norma ya no es solo un marco de referencia. Es una obligación concreta con consecuencias legales y reputacionales si se ignora, pero ¿qué implica esto en la práctica? Podemos acudir a los conceptos que se deducen de la norma: que ya no basta con tener el “plan director” en un cajón, que los plazos y la responsabilidad se acortan o las temidas sanciones. Pero la realidad, para adaptar todas las medidas técnicas y regulatorias, es que se necesitan recursos para llevar a cabo todas esas tareas. Cada vez más se duplican los roles en las organizaciones (públicas y privadas) para cubrir estos puestos, lo que conlleva un ahorro de costes y, a la vez, una sobrecarga operativa que hace que los procesos se ralenticen y, en muchas ocasiones, fracasen en tiempo y ejecución. De ahí la importancia relevante de los partners, los socios tecnológicos, los proveedores que se convierten en las manos que las organizaciones no disponen y que aportan el talento necesario para remediar estas situaciones. Aunque en muchas ocasiones, y precisamente por los mismos motivos, se convierten en víctimas de la propia solución. Normativa Cumplir con la normativa es solo el principio. El objetivo real debe ser garantizar la resiliencia de la organización: su capacidad de anticipar, resistir y recuperarse ante un incidente. Para ello, y como síntesis muy arriesgada, se deben llevar a cabo medidas, que, aunque duras, son las mínimas necesarias para empezar ese duro camino: Involucrar a la dirección: La ciberseguridad tiene que estar en la agenda del comité de dirección, con una visión clara del riesgo y recursos ade- ¿Estamos seguros o solo lo parece? José Antonio Martínez Guillén Director Preventa de Arexdata
RkJQdWJsaXNoZXIy MTI4MzQz