red seguridad segundo trimestre 2026 59 normativa monográfico tidas, accesos permanentes que nadie revisa o privilegios que sobreviven durante años simplemente porque eliminarlos podría afectar a la operación. Eso explica por qué muchas organizaciones tienen hoy más herramientas de seguridad que nunca y, al mismo tiempo, siguen teniendo dificultades para responder preguntas básicas sobre quién accedió a un sistema crítico o qué hizo dentro de él. Sector público y visibilidad Una de las diferencias más claras entre el sector público y otros entornos corporativos es el grado de complejidad acumulada. Muchas administraciones y operadores esenciales llevan años construyendo capas tecnológicas sobre infraestructuras muy heterogéneas. Conviven sistemas modernos con plataformas legacy, aplicaciones corporativas con entornos industriales y modelos de acceso recientes con otros heredados que nunca llegaron a revisarse completamente. Eso genera un problema que rara vez aparece en el discurso más teórico sobre NIS2, la falta de visibilidad operativa. En muchas organizaciones sí existen registros de acceso o controles básicos de autenticación. El problema aparece cuando hay que reconstruir actividad real sobre sistemas sensibles o entender con precisión qué ocurrió antes y después de un incidente. En entornos IT tradicionales esto ya supone una dificultad importante, pero en infraestructuras OT el reto es todavía mayor. Muchos sistemas industriales fueron diseñados priorizando disponibilidad y continuidad de operación. La ciberseguridad no formaba parte de las prioridades iniciales y, por eso, todavía existen estaciones SCADA con credenciales compartidas, accesos de mantenimiento poco supervisados o arquitecturas donde la segmentación y la trazabilidad resultan limitadas. Además, muchas organizaciones públicas trabajan bajo restricciones presupuestarias y operativas que dificultan reemplazar infraestructuras completas a corto plazo. Eso obliga a adoptar enfoques mucho más pragmáticos. Proveedores y zonas grises Otro de los grandes retos que pone sobre la mesa NIS2 es la gestión de terceros. Hoy prácticamente cualquier infraestructura crítica depende de empresas externas para operar. Fabricantes industriales, mantenimiento remoto, integradores, soporte tecnológico o servicios especializados necesitan acceder continuamente a sistemas sensibles para realizar tareas operativas. El problema es que muchos de esos accesos siguen gestionándose con modelos heredados, pensados más para facilitar la conectividad que para mantener control real sobre ella. VPN permanentes, cuentas genéricas utilizadas por varios técnicos o accesos que permanecen activos fuera de las ventanas de mantenimiento son situaciones mucho más habituales de lo que suele reconocerse públicamente. Eso genera uno de los principales puntos ciegos dentro de muchas organizaciones. Porque, cuando un tercero accede a una infraestructura crítica, la responsabilidad sigue recayendo sobre la organización propietaria de ese entorno. Y ahí es donde NIS2 introduce un cambio importante. El acceso de terceros deja de verse únicamente como una necesidad operativa y pasa a considerarse también una cuestión de gobierno y supervisión. La prioridad ya no es solo permitir acceso rápido cuando hace falta. La prioridad pasa a ser mantener visibilidad constante sobre quién accede, a qué sistemas, durante cuánto tiempo y bajo qué supervisión interna. Cumplir y tener control En el fondo, NIS2 obliga a muchas organizaciones a hacerse una pregunta bastante simple: si realmente tienen control sobre su operación digital. Y eso va mucho más allá de disponer de políticas escritas o pasar auditorías. Hoy la resiliencia depende cada vez más de la capacidad de supervisar la actividad real sobre los sistemas críticos, detectar comportamientos anómalos, controlar privilegios o reconstruir incidentes cuando algo ocurre. La trazabilidad deja de ser un requisito adicional para convertirse en una condición básica de operación porque, al final, una organización no puede proteger aquello que no es capaz de ver ni supervisar realmente. Las compañías que aprovechen este momento para mejorar visibilidad, control y gobierno operativo estarán mucho mejor preparadas para gestionar un entorno donde el riesgo ya forma parte del funcionamiento diario. NIS2 obliga a muchas organizaciones a preguntarse si realmente tienen algún tipo de control sobre su operación digital
RkJQdWJsaXNoZXIy MTI4MzQz