Red Seguridad 113

red seguridad segundo trimestre 2026 37 normativa monográfico desarrollar capacidades comunes reutilizables. La cadena de suministro es probablemente el mejor ejemplo. DORA, NIS2, CRA y AI Act incorporan requisitos relacionados con terceros críticos, proveedores tecnológicos, evaluación de riesgos o monitorización continua. Gestionar estos requisitos mediante iniciativas independientes genera complejidad innecesaria. Por el contrario, un único modelo corporativo de gestión de terceros –basado en clasificación por criticidad, requisitos contractuales homogéneos, evaluación continua y planes de respuesta– permite responder simultáneamente a múltiples exigencias regulatorias y, al mismo tiempo, reforzar la resiliencia real de la organización. Lo mismo ocurre con la gestión de incidentes, la evaluación de riesgos o la continuidad operativa. Las diferencias regulatorias suelen estar más relacionadas con el grado de exigencia o el ámbito de aplicación que con los fundamentos técnicos y organizativos. Enfoque basado en riesgo Uno de los principales riesgos del actual contexto regulatorio es convertir la ciberseguridad en un ejercicio puramente documental. Cuando el objetivo empieza a ser “pasar auditorías”, las organizaciones tienden a generar capas adicionales de procesos y evidencias desconectadas de la operación real. Sin embargo, la finalidad última de la regulación no debería ser incrementar burocracia, sino mejorar la capacidad de resistir, responder y recuperarse frente a incidentes que afectan a servicios esenciales y procesos críticos. El impacto ya no se limita al área de ciberseguridad. Las nuevas regulaciones están elevando la implicación de los comités de dirección y obligando a las organizaciones a revisar procesos de compra, relación con proveedores, gestión contractual, continuidad operativa y mecanismos de supervisión interna. La ciberseguridad deja de ser un ámbito exclusivamente técnico para convertirse en una responsabilidad transversal con impacto directo en negocio, reputación y capacidad operativa. Por eso, una aproximación eficaz consiste en integrar el cumplimiento dentro del marco global de gestión de riesgos de la organización. Esto implica evaluar impacto y criticidad, priorizar inversiones, asignar responsabilidades claras y diseñar controles reutilizables. Este enfoque aporta varias ventajas: reduce duplicidades, mejora la eficiencia operativa y facilita la toma de decisiones al permitir priorizar iniciativas con impacto transversal. Además, ayuda a trasladar la conversación al nivel adecuado, el negocio. La resiliencia no es únicamente una cuestión técnica. Es una capacidad estratégica vinculada a continuidad operativa, confianza, reputación y sostenibilidad. Conclusión La avalancha regulatoria europea no es únicamente un desafío de cumplimiento, sino un reto de gobierno, priorización y ejecución. Las organizaciones que afronten cada normativa como un proyecto aislado tenderán a generar silos, duplicidades y sobrecostes. En cambio, aquellas que construyan un modelo basado en capacidades comunes (gobierno, riesgos, terceros, incidentes y resiliencia) podrán transformar el cumplimiento en un mecanismo de estandarización y eficiencia operativa. El debate ya no debería centrarse en si existe demasiada regulación, sino en cómo utilizarla para reforzar la resiliencia real de las organizaciones. Porque, en última instancia, el objetivo no es únicamente cumplir una norma. Es garantizar la continuidad y la confianza de los servicios esenciales sobre los que se sostiene la economía digital.

RkJQdWJsaXNoZXIy MTI4MzQz