60 red seguridad segundo trimestre 2026 monográfico normativa La industria de la ciberseguridad lleva dos años centrada en la misma conversación: la regulación europea, Directiva NIS2, Reglamento DORA y la nueva Ley de Ciberresiliencia (CRA). Tres normas, tres lógicas, tres calendarios. Y un punto ciego común en el que casi nadie está haciendo foco: el dispositivo móvil presente tanto en la gestión directiva como en la operativa diaria. Las tres convergen ahí. Sin nombrarlo. Pero exigiéndolo. NIS2 no menciona ni una sola vez la palabra smartphone. Y, sin embargo, obliga a las organizaciones de sus dieciocho sectores críticos a una gestión continua de riesgos, monitorización constante, resiliencia operativa y control de la cadena de suministro, sobre todo endpoint conectado a la red corporativa. España sigue en fase pre-transposición. La Comisión Europea remitió dictamen motivado en mayo de 2025 a diecinueve Estados miembros, España incluida, por no haber notificado la transposición completa. El Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad avanza, pero la directiva ya tiene efectos reales. El móvil es endpoint. Y, por tanto, sujeto a cumplimiento. DORA cumple un año en aplicación plena en el sector financiero. Su tesis es directa: todo activo TIC que sostenga un servicio crítico debe demostrar resiliencia con métricas reales, no con plantillas de cumplimiento. El smartphone desde el que un gestor aprueba una operación crítica en un aeropuerto ya no es un dispositivo personal. Es infraestructura crítica distribuida. Y CRA, en vigor desde diciembre de 2024, introduce algo que hasta ahora no existía en el marco europeo: responsabiliza al fabricante del hardware. Desde el 11 de septiembre de 2026, todo fabricante deberá notificar a ENISA las vulnerabilidades activamente explotadas en sus productos en menos de 24 horas, con sanciones que pueden alcanzar los 15 millones de euros o el 2,5 por ciento del volumen de negocio mundial. Por primera vez, la cadena legal de la ciberseguridad llega al chip. Convergencia regulatoria Esta convergencia regulatoria obliga a un cambio de marco. El modelo tradicional de confianza implícita desaparece. La confianza ya no se establece en la red, arranca antes. Antes del enrolado, antes del acceso, antes incluso del primer arranque del dispositivo. Ese es el verdadero significado operativo de Zero Trust. Secure Boot, atestación remota de la integridad del dispositivo, almacenamiento de credenciales aislado en hardware certificado, integración con plataformas EMM y SIEM. No es una lista de tickets para IT. Es la arquitectura que las tres normativas asumen sin decirlo. En Samsung llevamos diez años consecutivos certificando Knox bajo Common Criteria, el estándar internacional reconocido por treinta y un países, y en ENS. Knox Vault, el chip dedicado al aislamiento de credenciales y datos sensibles, dispone de certificación EAL 4/5+. La atestación remota se ejecuta sobre claves criptográficas aprovisionadas durante la fabricación del dispositivo. El sector ha dedicado el último año a debatir si NIS2 estará transpuesta en el primer trimestre o en el segundo. Mientras tanto, DORA ya audita. CRA empieza en septiembre. Y, sin embargo, el dispositivo más expuesto, más distribuido y más utilizado de la empresa sigue siendo el menos protegido, el móvil. La pregunta para cualquier CIO no es si cumplir o no; es desde qué capa de la pila tecnológica empezar a construir resiliencia digital. Y la única respuesta honesta empieza en el chip. La confianza no se decreta. Se fabrica. Tres normativas, un punto ciego: tu dispositivo móvil Enrique Martín Head of Business Large Enterprises and Public Administration de Samsung Electronics Iberia
RkJQdWJsaXNoZXIy MTI4MzQz