Red Seguridad 113

58 red seguridad segundo trimestre 2026 monográfico normativa La llegada de la Directiva NIS2 cambia la forma en que Europa entiende la ciberseguridad. Ya no basta con políticas, auditorías o cumplimiento documental, porque la cuestión pasa a ser mucho más directa: si una organización tiene control real sobre sus sistemas, sus accesos y su capacidad de respuesta. Esto afecta especialmente a las administraciones públicas y sectores esenciales, donde la digitalización ha incorporado acceso remoto, proveedores externos y entornos cada vez más conectados, a menudo más rápido que los modelos de control y supervisión. Ahí está una de las claves de NIS2: no introduce solo nuevas obligaciones, también obliga a demostrar visibilidad real sobre quién accede a los sistemas críticos, qué actividad realiza y qué exposición generan los accesos que se han ido. La mesa de dirección Uno de los cambios más relevantes de NIS2 es que la ciberseguridad deja de quedarse en los departamentos técnicos. La interrupción de servicios y el impacto sobre la operación pasan a primer plano, y eso obliga a elevar la conversación. En el sector público esto resulta especialmente visible, porque muchas organizaciones trabajan con sistemas heredados, infraestructuras complejas y múltiples proveedores externos sobre entornos donde cualquier cambio puede afectar directamente al servicio prestado al ciudadano. Por eso NIS2 tiene un componente mucho más organizativo de lo que parece. La directiva obliga a que la dirección participe activamente en la supervisión del riesgo. Nuevo punto crítico Durante mucho tiempo, gran parte de la seguridad se diseñó pensando en proteger el perímetro. El problema es que ese perímetro prácticamente ha desaparecido. Hoy los entornos críticos funcionan con accesos remotos constantes, proveedores conectados desde el exterior, aplicaciones cloud e integraciones industriales cada vez más complejas. Eso hace que el acceso a los sistemas se haya convertido en uno de los principales puntos de control dentro de cualquier organización. El reto ya no es solo evitar que alguien entre desde fuera, sino entender quién tiene acceso, por qué lo tiene y qué ocurre una vez dentro. Y ahí aparecen muchas de las debilidades actuales. En numerosos entornos críticos siguen existiendo cuentas comparMás allá de la conformidad: NIS2 y el acceso como nuevo punto crítico Guido Kraft Field CISO de Wallix

RkJQdWJsaXNoZXIy MTI4MzQz