Red Seguridad 113

36 red seguridad segundo trimestre 2026 monográfico normativa “Es abrumadora la regulación europea”. “Estamos sobrerregulados”. “Hay demasiado solapamiento entre normas”. Son comentarios habituales entre organizaciones que afrontan la adaptación a nuevas exigencias regulatorias en ciberseguridad. Más allá de la crítica, detrás de estas percepciones existen preocupaciones muy concretas: cómo repartir responsabilidades entre ciberseguridad, inteligencia artificial y otras áreas tecnológicas; cómo adaptarse sin perder eficiencia; y cómo evitar la creación de silos normativos que compliquen la operación y el mantenimiento de los controles. La situación es especialmente relevante porque las organizaciones están recibiendo, prácticamente de forma simultánea, obligaciones derivadas de normativas como NIS2, DORA, el Cyber Resilience Act (CRA), la Directiva CER o el AI Act. Cada una introduce requisitos específicos, pero todas convergen sobre elementos comunes: gobierno corporativo, gestión de riesgos, seguridad de la cadena de suministro, gestión y notificación de incidentes y resiliencia operativa. La cuestión estratégica ya no es únicamente cómo cumplir con cada regulación, sino cómo construir un modelo eficiente y sostenible que permita responder al conjunto del marco normativo sin multiplicar estructuras, equipos y controles. Europa acelera la regulación Los últimos años han situado la ciberseguridad en el centro de la agenda política y económica europea. Los ataques contra infraestructuras críticas, la creciente dependencia tecnológica y el contexto geopolítico han elevado la percepción del riesgo a nivel institucional. La Unión Europea ha respondido impulsando un marco regulatorio ambicioso orientado a reforzar la resiliencia digital de sectores esenciales y reducir dependencias estratégicas. NIS2 amplía significativamente el alcance de las obligaciones de ciberseguridad para operadores esenciales e importantes. DORA introduce requisitos específicos para el sector financiero, con foco en resiliencia operativa y terceros tecnológicos. El CRA traslada exigencias de ciberseguridad al ciclo de vida de productos digitales y dispositivos conectados. El AI Act incorpora obligaciones de gobernanza y control sobre sistemas de inteligencia artificial. El problema aparece cuando estas regulaciones se abordan como proyectos independientes. Cada norma genera su propio lenguaje, responsables, procesos y evidencias. El resultado suele ser el mismo: duplicidades, incremento de costes, dispersión de prioridades y dificultad para mantener controles de forma consistente. En muchos casos, además, el problema no es únicamente tecnológico o regulatorio, sino organizativo. Persisten dudas sobre quién decide, quién ejecuta y quién asume la responsabilidad última en ámbitos donde convergen ciberseguridad, resiliencia e inteligencia artificial. Cuando no existe un modelo claro de gobierno, el cumplimiento acaba fragmentado. Los cimientos comunes Aunque las regulaciones europeas presentan diferencias relevantes, comparten una base estructural muy similar. La mayor parte de las obligaciones se concentra en cinco grandes ámbitos: gobierno y supervisión, gestión de riesgos, seguridad de terceros y cadena de suministro, gestión y notificación de incidentes y resiliencia y continuidad operativa. Este punto es clave porque permite cambiar el enfoque. En lugar de construir programas separados para cada regulación, las organizaciones pueden Ordenar el mapa regulatorio: del cumplimiento a la resiliencia Antonio Jara Country Manager España de S2Grupo

RkJQdWJsaXNoZXIy MTI4MzQz