Red Seguridad 113

56 red seguridad segundo trimestre 2026 monográfico normativa guridad deja de ser un atributo añadido y pasa a formar parte intrínseca del producto. Esto tiene implicaciones directas en la soberanía. Si los componentes que forman parte de un sistema industrial no son seguros por diseño, no son mantenidos adecuadamente o no ofrecen transparencia sobre su funcionamiento, la organización pierde control sobre su propio entorno operativo. En sectores industriales, donde la vida útil de los sistemas puede superar ampliamente la década, este aspecto es especialmente relevante. La dependencia de tecnologías opacas o difíciles de actualizar no solo es un problema de seguridad, sino de gobernabilidad. Por ello, no puede existir soberanía operativa sin soberanía tecnológica en los productos que la sustentan. La irrupción de la inteligencia artificial (IA), regulada en Europa a través del EU AI Act, añade un elemento adicional a este escenario. La IA no solo optimiza procesos, también introduce una nueva capa de decisión. En entornos industriales, su uso en control avanzado, mantenimiento predictivo o gestión energética está creciendo rápidamente. Esto permite mejorar la eficiencia, pero también implica que decisiones críticas puedan estar basadas en modelos que no siempre son transparentes o comprensibles. Al mismo tiempo, la IA también incrementa la capacidad ofensiva, permitiendo ataques más adaptativos, rápidos y contextualizados. El reto no es únicamente proteger la IA, sino entender qué decisiones estamos delegando en ella y en qué condiciones podemos recuperar el control. Cada modelo que no se comprende, cada dato que no se controla, representa una cesión de soberanía. NIS2, CRA y la regulación de la IA no son iniciativas aisladas. Forman parte de una estrategia más amplia para recuperar capacidad de control en un entorno digital cada vez más complejo y dependiente. Se requiere una evolución desde la gestión de la ciberseguridad hacia el gobierno de la ciberresiliencia. Gestionar implica operar, ejecutar, mantener. Gobernar implica decidir, priorizar y asumir responsabilidad en contextos de incertidumbre. En entornos industriales, donde las consecuencias de un incidente pueden ser físicas y afectar a la continuidad del negocio, esta diferencia es crítica. Esto exige nuevas capacidades dentro de las organizaciones. No basta con tener visibilidad técnica o capacidad de detección. Es necesario entender el comportamiento del sistema, anticipar impactos y coordinar respuestas de forma efectiva. En este contexto, emerge con fuerza la necesidad de roles que conecten la operación con la dirección, capaces de traducir el riesgo técnico en decisiones estratégicas. Capacidades críticas Más allá de los requisitos específicos de cada normativa, el cumplimiento efectivo puede resumirse en tres capacidades fundamentales. La primera es decidir: ser capaz de evaluar situaciones complejas y entender su impacto en la operación real. La segunda es coordinar: alinear áreas como IT, OT, negocio y proveedores en un entorno cada vez más distribuido. Y la tercera es responder: actuar con rapidez y eficacia cuando se materializa un incidente. Estas capacidades no se improvisan; requieren cultura, entrenamiento y un modelo claro de gobierno. El verdadero cumplimiento no será demostrar que se han implementado ciertos controles, sino que la organización mantiene su capacidad para decidir, operar y responder ante situaciones adversas. En definitiva, cumplir con estas normativas en el ámbito industrial no consiste en incorporar más ciberseguridad. Consiste en algo mucho más profundo, me refiero a gobernar la soberanía digital en un mundo donde cada vez es más fácil perderla.

RkJQdWJsaXNoZXIy MTI4MzQz