68 red seguridad segundo trimestre 2026 monográfico normativa La Unión Europea está endureciendo de manera progresiva sus exigencias en ciberseguridad. La Directiva NIS2, que impone obligaciones concretas en materia de gestión de riesgos, notificación de incidentes y continuidad operativa, amplía esas medidas a 18 sectores críticos (frente a los siete de la directiva anterior) e incluye ahora a proveedores cloud, editores SaaS, operadores de infraestructuras y parte de la cadena de suministro digital. En España, según estimaciones basadas en datos de la Seguridad Social, alrededor del 33 por ciento de las empresas con más de 50 empleados quedan dentro del ámbito de aplicación de la Directiva NIS2. El contexto no deja margen a la complacencia: el Instituto Nacional de Ciberseguridad (INCIBE) gestionó 122.223 incidentes de ciberseguridad en 2025, un 26 por ciento más que el año anterior, con los sectores regulados por la NIS2 (banca, transporte, energía) entre los más afectados. El Centro Criptológico Nacional (CCN) y el INCIBE han habilitado servicios específicos para ayudar a las empresas a preparar su adaptación. Por su parte, el Reglamento DORA se centra en la resiliencia operativa digital del sector financiero: bancos, aseguradoras y fintechs deberán demostrar su capacidad para mantener operaciones incluso ante un incidente grave. La cadena de suministro Uno de los cambios más significativos de las regulaciones es el enfoque en la seguridad de la cadena de suministro digital. La mayoría de las organizaciones dependen hoy de proveedores cloud, software de terceros, herramientas de administración remota o servicios externalizados. Esta interconexión amplía considerablemente la superficie de ataque. En 2025, los ataques a la cadena de suministro se duplicaron y representan 22,5 por cinento de todas las brechas de seguridad. El informe ENISA Threat Landscape 2025, que analiza cerca de 4.900 incidentes que tuvieron lugar entre julio de 2024 y junio de 2025, confirma que los actores de amenazas explotan deliberadamente las dependencias digitales de terceros para amplificar el alcance de sus ataques Las consecuencias (interrupción operativa, pérdida de datos, daño reputacional...) pueden ser graves y difíciles de contener. Por ello, las regulaciones europeas exigen evaluar, supervisar y contractualizar los riesgos asociados a terceros. La normativa DORA va más lejos al introducir la figura del proveedor TIC crítico de terceros: los llamados CTPP (Critical ICT Third-Party Providers, por sus siglas en inglés), sometidos a supervisión directa por parte de las autoridades europeas de supervisión (EBA, ESMA y EIOPA). En noviembre de 2025, estas autoridades publicaron la primera lista de 19 CTPP designados (entre ellos, Google Cloud, Microsoft Azure y AWS), según criterios como el impacto sistémico de una interrupción, el número de entidades financieras dependientes y la dificultad de sustitución. Una vez designados, quedan sujetos a inspecciones in situ, auditorías de resiliencia y posibles sanciones. El objetivo es claro: evitar que la dependencia excesiva de un único proveedor tecnológico se convierta en riesgo sistémico para el sistema financiero europeo. Para mitigar estos riesgos, las organizaciones deben implementar controles técnicos específicos: cifrar los datos antes de transferirlos a terceros, gestionar las claves criptográficas de forma centralizada y con separación de privilegios y auditar regularmente los niveles de seguridad de sus proveedores. La capacidad de revocar el acceso a datos sensibles de forma inmediata ante un compromiso es, hoy en día, un requisito operativo crítico. El cifrado como solución En este contexto, el cifrado destaca como medida técnica transversal más eficaz. Una estrategia de cifrado bien NIS2 y DORA: el cifrado al servicio del cumplimiento Anne Laure de Vasselot Channel manager de PRIM’X
RkJQdWJsaXNoZXIy MTI4MzQz