54 red seguridad segundo trimestre 2026 monográfico normativa Durante años, hemos entendido la ciberseguridad como un problema técnico. Proteger sistemas, desplegar controles, cumplir normativas. Sin embargo, el contexto industrial actual ha cambiado radicalmente esa realidad. Hoy, el verdadero desafío no es la seguridad en sí misma, sino la pérdida progresiva de soberanía digital. La industria ha avanzado hacia modelos muy digitalizados, interconectados y dependientes de terceros. Esta evolución ha permitido mejorar la eficiencia, la visibilidad y la capacidad de optimización. Pero también ha introducido una fragilidad digital estructural; es decir, cada vez dependemos más de tecnologías, datos, proveedores y decisiones que no controlamos completamente. En este contexto, normativas como NIS2 o el Cyber Resilience Act no deben interpretarse como nuevas exigencias de cumplimiento, sino como un cambio de paradigma. Europa no está pidiendo más controles, está exigiendo capacidad de gobierno. El concepto clave que subyace a este nuevo marco regulatorio es la soberanía digital. En el ámbito industrial, esta soberanía se puede entender en cuatro dimensiones: la capacidad de controlar los datos, los sistemas, la operación y, en última instancia, las decisiones. La digitalización ha erosionado progresivamente estas cuatro capacidades. Los datos residen en plataformas externas, los sistemas dependen de fabricantes globales, la operación se apoya en servicios remotos y las decisiones empiezan a delegarse en algoritmos. No estamos simplemente automatizando procesos, estamos externalizando el control. Riesgo no gestionado Este fenómeno no es negativo en sí mismo, pero sí introduce un riesgo que hasta ahora no se está gestionando adecuadamente. Me refiero a la pérdida de capacidad para decidir y actuar de forma autónoma ante situaciones críticas. NIS2 representa un cambio significativo en la forma de entender la ciberseguridad. Por primera vez, la responsabilidad se sitúa claramente en el órgano de dirección, que debe asumir la gestión del riesgo como una función de gobierno. Esto implica varias transformaciones profundas. La primera es que el riesgo ya no es exclusivamente técnico, sino estructural y sistémico. Abarca dependencias con proveedores, cadenas de suministro digitales, servicios externalizados y tecnologías compartidas. La segunda es que el foco se desplaza desde la prevención hacia la resiliencia: la capacidad de anticipar, resistir y recuperarse. Cumplir con NIS2 no significa únicamente implementar controles. Significa ser capaz de entender cómo un incidente puede afectar a la operación real y tomar decisiones en consecuencia. En otras palabras, significa gobernar la fragilidad digital. ‘Cyber Resilience Act’ Cyber Resilience Act (CRA) introduce otra dimensión crítica donde la ciberseSoberanía digital, clave para cumplir NIS2 y CRA en la industria José Valiente Director del Centro de Ciberseguridad Industrial (CCI) Cumplir con la Directiva NIS2 significa gobernar la fragilidad digital
RkJQdWJsaXNoZXIy MTI4MzQz