Red Seguridad 113

76 red seguridad segundo trimestre 2026 monográfico normativa Durante años, los departamentos de Seguridad han adquirido tecnología de seguridad física atendiendo, sobre todo, a su utilidad funcional. Por ejemplo, cámaras con buena calidad, sistemas de intrusión eficaces, controles de accesos, VMS para gestionar vídeo o PSIM capaces de integrar subsistemas. Ese enfoque sigue siendo necesario, pero ya no es suficiente. El contexto regulatorio europeo está cambiando la forma de entender la seguridad. La seguridad física deja de ser una disciplina aislada y pasa a formar parte de un modelo más amplio de ciberseguridad, resiliencia y continuidad operativa. La razón es que los sistemas de seguridad física son hoy sistemas digitales conectados. Una cámara IP, un lector de accesos, una controladora, un grabador o una plataforma de gestión no son solo equipos de seguridad; también son productos con software, firmware, credenciales, comunicaciones, datos, actualizaciones, vulnerabilidades y dependencias de terceros. Este cambio afecta directamente a las empresas españolas. No solo a los usuarios finales que operan infraestructuras, instalaciones sensibles o servicios esenciales; sino también a fabricantes, distribuidores, instaladores, integradores, mantenedores, centrales receptoras de alarmas y proveedores tecnológicos. Todos forman parte de una cadena de valor que deberá demostrar gestión del riesgo, trazabilidad, ciberseguridad, continuidad y madurez. La Directiva NIS2 refuerza las obligaciones de ciberseguridad, amplía los sectores afectados e introduce mayores exigencias de gobernanza, gestión de riesgos, notificación de incidentes, supervisión y responsabilidad directiva. La Directiva CER desplaza el foco desde la protección de infraestructuras críticas hacia la resiliencia de entidades críticas. Esto es, la capacidad de prevenir, resistir, responder, mitigar y recuperarse ante incidentes que afecten a servicios esenciales. Por su parte, el Cyber Resilience Act introduce requisitos horizontales de ciberseguridad para productos con elementos digitales, con impacto directo en equipos de seguridad física. A este mapa se suman otros marcos que ya funcionan como referencias prácticas, como el Esquema Nacional de Seguridad (ENS), CPSTIC/certificación LINCE, DORA en el sector financiero, el AI Act, el RGPD en tratamientos como videovigilancia, accesos o biometría, y las normas técnicas aplicables a intrusión, CCTV, incendios o centrales receptoras de alarmas. El resultado es una confluencia de obligaciones, en el que seguridad física, ciberseguridad, protección de datos, continuidad, cadena de suministro y cumplimiento deben analizarse conjuntamente. Vida útil de la seguridad En este contexto, la pregunta clave ya no es solo si una tecnología cumple hoy, sino si seguirá haciéndolo durante su vida útil. Las tecnologías de seguridad física permanecen en servicio durante años. Una decisión tomada ahora puede condicionar la capacidad futura de cumplir requisitos de ciberseguridad, resiliencia, trazabilidad, actualización, certificación o soporte. Comprar solo por funcionalidad, precio o compatibilidad inmediata puede generar obsolescencia regulatoria antes de que el producto agote su vida útil. Por eso, la lentitud en la aprobación de nuevas leyes también puede ser una oportunidad. Cuando una directiva está pendiente de transposición, un reglamento tiene aplicación progresiva o faltan guías o leyes nacionales, existe incertidumbre. Pero no implica desconocimiento total. Muchas tendencias ya están claras: ciberseguridad por diseño y por defecto, gestión de vulnerabilidades, actualizaciones seguras, autenticación robusta, segmentación, cifrado, logs exportables, evidencias, continuidad, soporte durante el ciclo de vida y gestión de terceros. La anticipación normativa como ventaja competitiva Enrique Bilbao Lázaro Director general de Desico

RkJQdWJsaXNoZXIy MTI4MzQz