Red Seguridad 113

red seguridad segundo trimestre 2026 69 normativa monográfico implementada permite responder directamente a los tres imperativos que articulan las normativas NIS2, DORA y otras regulaciones emergentes: Confidencialidad de los datos: Protege la información sensible en puestos de trabajo, dispositivos móviles, servicios cloud y datos en tránsito o en reposo. Limitación del impacto de los incidentes: los datos cifrados son inútiles para un atacante que no tiene las claves. Esto reduce el alcance real del daño y puede eximir de la notificación obligatoria a los afectados según lo previsto en NIS2. Prueba de diligencia razonable: documenta de forma objetiva las medidas de protección adoptadas, un argumento sólido ante auditorías regulatorias o procedimientos judiciales. Estas tres dimensiones están presentes en NIS2, DORA y en normativas emergentes como Cyber Resilience Act (CRA) o AI Act, que establecen la seguridad como requisito de diseño para productos y sistemas de inteligencia artificial. Integrar el cifrado en la arquitectura de seguridad no es solo una medida de cumplimiento, sino que también representa una inversión en resiliencia a largo plazo. El cifrado encaja de forma natural en un modelo zero trust, enfoque cada vez más recomendado por las autoridades europeas que parte de un principio simple: ningún actor (interno o externo) es de confianza por defecto, por lo que cada acceso debe verificarse continuamente. El cifrado de extremo a extremo garantiza que los datos permanezcan ilegibles incluso dentro de la propia infraestructura, protegiéndola frente a amenazas internas y movimientos laterales de atacantes. Cumplimiento normativo Muchas empresas perciben inicialmente estas regulaciones como una carga adicional. Sin embargo, representan también una oportunidad real para reforzar la madurez digital, optimizar los procesos internos y generar confianza entre clientes, socios e instituciones públicas. La conformidad regulatoria puede convertirse en un factor diferenciador en términos de gobernanza, transparencia y gestión del riesgo. Las entidades que adoptan una postura proactiva –integrando medidas técnicas sólidas como el cifrado a partir de la etapa de diseño– están mejor posicionadas para afrontar tanto las amenazas actuales como las exigencias regulatorias futuras. Esta transformación técnica tiene también implicaciones estratégicas para las organizaciones. En sectores como el financiero, el sanitario o el de infraestructuras críticas, demostrar conformidad con NIS2 y DORA puede convertirse en un criterio de selección en licitaciones públicas y contratos con grandes corporaciones. La trazabilidad de las medidas de cifrado implementadas facilita además las auditorías de certificación (ISO 27001 y ENS) y reduce los tiempos de respuesta ante requerimientos regulatorios. En este contexto, resulta esencial seleccionar soluciones cuya fiabilidad esté avalada por organismos independientes. Se recomienda utilizar productos certificados por la OTAN y la UE (Difusión Restringida UE y OTAN) y cualificados por el CCN (ENS Alta) para el mercado español. La arquitectura de dichos productos garantiza que ni el proveedor cloud ni terceros puedan acceder a los datos cifrados, respondiendo así a los requisitos de soberanía digital que exigen las regulaciones europeas y preservando el control exclusivo de la organización sobre su información. Así pues, NIS2, DORA, CRA y AI Act configuran un nuevo modelo de ciberseguridad europeo basado en resiliencia, gobernanza proactiva y responsabilidad compartida. Para los CISO y responsables de TI, el reto no consiste únicamente en cumplir con nuevas obligaciones, sino en transformar estas exigencias en una ventaja estratégica. El cifrado, como medida técnica central y transversal, desempeña un papel esencial en esta transición. Anticiparse a las amenazas, demostrar diligencia y proteger la cadena de suministro digital son, hoy más que nunca, los pilares de una postura de seguridad sólida y sostenible. Foto de Markus Winkler en Unsplash.

RkJQdWJsaXNoZXIy MTI4MzQz