Gobernanza y TIC: simplificación normativa y enfoque en la gestión de riesgos

Ser y parecer. Capacidad y capacidades. A día de hoy, ni somos fuertes ni lo parecemos. Se empieza a asumir esta realidad y se empieza a trabajar en ello o eso parece. Prueba de ello, esta nueva propuesta de simplificación operativa y normativa. Veremos su recorrido e impacto final. El poder global industrial conoce de tres focos principales: energía, información y fabricación. Es decir, gigavatios, nanómetros y zettabyttes. Ello requiere capacidad (talento) y capacidades (operativa diaria de crecimiento).

Por ello, es imprescindible la seguridad y ciberseguridad de nuestras cadenas de suministro, de las tecnologías de la información y de las comunicaciones (TIC) de la UE. Se busca garantizar la ciberseguridad en el diseño de los productos que llegan a los ciudadanos de la UE a través de un proceso de certificación más sencillo, así como, la mitigación de los riesgos en los 18 sectores críticos de la UE.

Cuentas sin cuentos. Más del 60% de brechas vinculadas al error humano (Verizon DBIR 2025) y un coste medio de 4,4 millones de dólares por incidente (IBM 2025). La realidad debe colocar al riesgo en el plano estratégico principal y que el Consejo no puede ni debe ignorar. A día de hoy, en mucho casos, se sigue ignorando o minusvalorando su impacto negativo real. Sin gobernanza, no hay crecimiento. Sin crecimiento, llega el estancamiento y posterior hundimiento. Lo sabemos. ¿ También lo aplicamos ?...

Por ello, la ciberseguridad y la seguridad de la información se convierten en un asunto de responsabilidad corporativa, es decir, esencia diaria para el consejo de administración. La regulación está marcando el paso, pero lo que realmente aprieta es la gestión de esos riesgos: terceros críticos, cadenas de suministro, servicios externalizados y decisiones que ya no se pueden delegar sin supervisión previa y continuada.

Partimos de una base legal operativa diaria: 28 regulaciones horizontales y sectoriales que generan 34 obligaciones distintas a lo largo del ciclo de relación con el cliente. Casi la mitad se solapan.

Por tanto, ya no estamos en la fase de “ estamos cumpliendo”. Toca pasar a una fase proactiva y no sólo reactiva. Ahora, el enfoque en la gobernanza debe dirigirse a tres ejes: plan (estrategia), planificación (agenda real de ejecución de dicho plan) y planeamiento (táctica aplicable en caso de fallo de las dos anteriores) A este respecto, la ISO 31000 acompañada de la ISO 31022, aportan un camino solvente en la gobernanza corporativa y gestión eficaz de riesgos.

En este sentido, la Empresa Nacional de Innovación (ENISA) seguirá desempeñando un papel clave para contar con una mano de obra cualificada en el ámbito de la ciberseguridad en Europa. Para ello, pondrá en marcha la Academia de Competencias en Ciberseguridad y establecerá regímenes de certificación de capacidades en materia de ciberseguridad a escala de la UE.

Esto se llevará a cabo a través de un Marco Europeo de Certificación de la Ciberseguridad renovado (ECCF, por sus siglas en inglés). El ECCF aportará más claridad y procedimientos más sencillos, lo que permitirá desarrollar los regímenes de certificación en un plazo de 12 meses por defecto.

Como principal novedad y gran valor diferenciador, se incluye la posibilidad de que las empresas y organizaciones puedan certificar su situación actual en materia de ciberseguridad para satisfacer las necesidades del mercado. Será una certificación muy valiosa y potenciadora de la inversión realizada por la empresa en gestión de riesgos, diferenciándose notoriamente de otra empresa que no pueda aportar esa constante inversión a lo largo de los años.

Se simplifica el cumplimiento de las normas de ciberseguridad de la UE y de los requisitos de gestión de riesgos para las empresas que operan en la Unión, complementando la ventanilla única para la notificación de incidentes propuesta en el paquete ómnibus digital. Las modificaciones específicas de la Directiva SRI 2 tienen por objeto aumentar la claridad jurídica. Se calcula que facilite el cumplimiento a 28700 empresas —incluidas 6200 microempresas y pequeñas empresas— e introducirán una nueva categoría de pequeñas empresas de mediana capitalización para reducir los costes de cumplimiento para 22500 entidades.

Los matices operativos principales son los siguientes: reglamento de ciberseguridad: se modifican las disposiciones relativas a los esquemas europeos de certificación de ciberseguridad, introduciendo mayor flexibilidad en los requisitos de documentación y simplificando los procedimientos de evaluación de la conformidad para determinadas categorías de productos, servicios y procesos TIC. Se refuerza el papel de ENISA en la coordinación y se clarifican las obligaciones de los organismos de evaluación de la conformidad.

En resumen, el contenido de las obligaciones no cambia, pero el flujo se simplifica y se abre la puerta a plantillas comunes para NIS2, el RGPD y la Directiva CER, tomando como referencia la experiencia de DORA. Responde al objetivo “ un incidente, un solo informe, con un solo mecanismo“.

Capacidad y capacidades. Ser y parecer. En ello estamos. Nunca dejemos de creer.