Red Seguridad 113

78 red seguridad segundo trimestre 2026 monográfico normativa Aunque no siempre se conozca el detalle exacto de cada obligación futura, sí se sabe hacia dónde se dirige el regulador. Esa ventana temporal permite a las empresas prepararse. Pueden revisar pliegos, actualizar criterios de compra, exigir documentación a fabricantes, reforzar contratos de mantenimiento, alinear seguridad con TI y ciberseguridad, clasificar activos, identificar tecnologías críticas, evaluar dependencias cloud y evitar soluciones desalineadas con el futuro marco regulatorio. Para los usuarios finales, anticiparse implica incorporar nuevos criterios a la adquisición. Ya no basta con pedir resolución, almacenamiento, integración o tiempos de respuesta. Deben solicitarse guías de bastionado, políticas de actualización, vida útil prevista, gestión de vulnerabilidades, mecanismos de autenticación, trazabilidad de eventos, exportación de logs, cifrado, protocolos seguros, documentación de configuración segura y, cuando proceda, certificaciones o evaluaciones reconocidas. Para los fabricantes, la ciberseguridad deja de ser un añadido comercial y pasa a ser una característica esencial del producto. Deberán explicar cómo diseñan, desarrollan, prueban, documentan, actualizan y mantienen sus productos durante todo el ciclo de vida. También deberán gestionar vulnerabilidades, dependencias de terceros, firmware, documentación técnica y, en muchos casos, procedimientos de evaluación de conformidad. Quien no pueda aportar evidencias tendrá más difícil competir en entornos regulados. Para instaladores, integradores y mantenedores, el papel ya no puede limitarse a instalar equipos y resolver averías. Tendrán que desplegar sistemas conforme a guías de bastionado, evitar configuraciones heredadas, documentar cambios, separar roles, aplicar mínimos privilegios, coordinarse con TI y ciberseguridad, mantener versiones actualizadas, garantizar comunicaciones seguras y dejar evidencias de las operaciones realizadas. La instalación segura y la operación mantenible serán parte del valor profesional. Para las áreas de tecnología y ciberseguridad, la seguridad física pasa a formar parte del perímetro digital corporativo. Un CCTV mal configurado, un acceso remoto inseguro, una contraseña por defecto, firmware sin soporte o integración sin cifrado pueden convertirse en vías de entrada hacia activos críticos. Por eso, estas compras deben revisarse con criterios de arquitectura, riesgo, continuidad y gobierno tecnológico, no solo operativos. Distinguir, no inventar Anticiparse no significa inventar obligaciones que aún no existen. Significa distinguir entre obligación vigente, requisito futuro previsible, buena práctica y criterio prudente de compra. Cumplir el ENS, por ejemplo, no debe presentarse aún como equivalente automático a cumplir NIS2, pero sí puede utilizarse como referencia técnica para estructurar medidas, evidencias y madurez. Del mismo modo, exigir productos incluidos en CPSTIC o certificados bajo metodologías como LINCE no será una obligación universal, pero puede ser un criterio preferente y defendible en administraciones públicas, infraestructuras críticas, entidades esenciales o entornos de alta criticidad. El mensaje de fondo es que el cumplimiento futuro se prepara en las decisiones presentes. Cada cámara, controlador, servidor, plataforma, integración o servicio contratado hoy puede facilitar o dificultar la adaptación normativa de mañana. Las empresas que esperen a la aprobación de cada norma llegarán tarde, con sistemas instalados, contratos cerrados y presupuestos comprometidos. Las que utilicen este periodo de transición para revisar sus criterios de compra, formar a sus equipos y exigir mayor madurez a sus proveedores convertirán la incertidumbre regulatoria en ventaja. La nueva regulación no debe verse solo como una carga. También puede ser una palanca para reducir tecnologías inseguras, profesionalizar la integración, reforzar la colaboración entre seguridad, TI y ciberseguridad, y orientar las inversiones hacia soluciones más confiables, actualizables y resilientes. Comprar tecnología de seguridad ya no consiste solo en elegir dispositivos. Supone decidir con qué garantías se va a poder operar, mantener, actualizar y justificar esa tecnología durante años. Por eso, conocer las obligaciones legales futuras no es un ejercicio teórico; es una decisión estratégica para proteger mejor, invertir mejor y llegar preparados al marco regulatorio que ya se está construyendo.

RkJQdWJsaXNoZXIy MTI4MzQz