Red Seguridad 113

48 red seguridad segundo trimestre 2026 monográfico normativa El cambio de paradigma que vivimos en 2026 tiene su origen en el periodo 2022-2024, cuando la Unión Europea comprendió que la autorregulación era insuficiente ante las amenazas híbridas y los ataques de ransomware a gran escala. El cambio fundamental ha consistido en transitar de recomendaciones voluntarias a reglamentos de obligado cumplimiento con regímenes sancionadores similares a los de la protección de datos (RGPD). Este nuevo marco se asienta sobre tres pilares: la responsabilidad directa de la alta dirección, la obligatoriedad de la notificación temprana de incidentes y la protección integral de la cadena de suministro. En este contexto, los “parches” técnicos han dejado de ser una opción; la realidad actual exige una estrategia de ciberseguridad coherente e interconectada. En primer lugar, la Directiva NIS2 se ha consolidado como la normativa central en Europa. Su foco es elevar el grado de seguridad tanto en sectores “críticos” como en los denominados “importantes”, ampliando el alcance para establecer medidas reales sobre la cadena de suministro. Esto abarca desde entidades esenciales (energía, transporte o salud) hasta importantes (fabricación, alimentación o proveedores digitales). Entre los requisitos clave destacan la gestión de riesgos basada en activos y el uso de criptografía. Sin embargo, el cambio más crítico es la exigencia de notificar incidentes significativos en solo 24 horas para la alerta temprana, sumado a una nueva responsabilidad legal que recae directamente sobre los CISO y los órganos de administración. Por su parte, el Reglamento de Resiliencia Operativa Digital (DORA) ha establecido en 2026 un marco estricto para el sector financiero. El foco ha evolucionado de la ciberseguridad tradicional hacia la resiliencia operativa: la capacidad de la banca y los seguros para resistir y recuperarse de cualquier incidente de TI. DORA afecta a entidades financieras y, de forma novedosa, a sus proveedores tecnológicos externos (como servicios en la nube). Los requisitos obligan a realizar pruebas de resiliencia avanzada, como los tests de penetración basados en amenazas (TLPT), y otorgan a los supervisores el poder de auditar directamente a los proveedores TIC. Resiliencia Paralelamente, la Ley de Resiliencia Ciber (CRA) ha introducido el equivalente al “marcado CE” para la seguridad digital, afectando a todo el hardware y software comercializado. El requisito fundamental es la “seguridad por diseño”. Los fabricantes deben garantizar la gestión de vulnerabilidades durante todo el ciclo de vida del producto y ofrecer actualizaciones transparentes, erradicando prácticas obsoletas como el uso de contraseñas por defecto o el abandono de parches de seguridad. En cuanto a la Ley de IA, 2026 marca la regulación estricta de los sistemas de inteligencia artificial, priorizando El cumplimiento normativo como motor de la estrategia empresarial Jorge Chamizo New Models Pre-Sales Symantec & Carbon Black La realidad actual exige una estrategia de ciberseguridad coherente e interconectada

RkJQdWJsaXNoZXIy MTI4MzQz