Mucho se ha hablado y escrito acerca del papel de las regulaciones en la seguridad de la información. Con este artículo pretendo dar una opinión, debatible y rebatible,
acerca de este aspecto y posicionarme en que los perfiles legislativos y técnicos solo
pueden trabajar de la mano para lograr el fin ansiado y perseguido de disfrutar de una sociedad cibersegura y resiliente.
La ciberseguridad ha dejado de ser un ámbito circunscrito a cuestiones meramente
técnicas para convertirse en un componente esencial de la gobernanza corporativa y
de la seguridad nacional en el caso de los gobiernos y las administraciones públicas.
En este contexto, la legislación y el cumplimiento normativo no deben interpretarse
como una carga administrativa, sino como un aliado fundamental que impulsa a las
organizaciones a elevar su nivel de madurez en la gestión de riesgos digitales.
El marco normativo como catalizador de la ciberseguridad
El desarrollo legislativo en materia de ciberseguridad y protección de datos ha
introducido estándares mínimos que obligan a las empresas a integrar la seguridad en sus procesos de gestión. El Reglamento General de Protección de Datos (RGPD,
Reglamento (UE) 2016/679) supuso un hito al establecer obligaciones estrictas sobre
el tratamiento de información personal, con mecanismos de responsabilidad proactiva (“accountability”) y sanciones significativas en caso de incumplimiento. Su impacto ha ido más allá de la privacidad: ha reforzado la necesidad de incorporar políticas de seguridad robustas para garantizar la confidencialidad, integridad y disponibilidad de los datos, en este caso de carácter personal, pero perfectamente extrapolable a cualquier otro tipo de información.
En paralelo, la Directiva (UE) 2016/1148, conocida como Directiva NIS, y su revisión
a través de la Directiva (UE) 2022/2555 (NIS2), han ampliado la exigencia de medidas
de seguridad a un mayor número de sectores, incluyendo servicios esenciales y
proveedores de servicios digitales. La transposición de NIS2 a los ordenamientos
nacionales, incluida España, obliga a muchas pymes y medianas empresas que
forman parte de cadenas de suministro críticas a adoptar medidas de ciberseguridad que antes no eran exigibles. Este marco normativo está contribuyendo a la creación de un ecosistema más homogéneo y resiliente frente a amenazas transnacionales.
Asimismo, normativas sectoriales como el Real Decreto-ley 12/2018, de seguridad
de las redes y sistemas de información en España, o estándares internacionales
como la ISO/IEC 27001, refuerzan la necesidad de alineamiento entre cumplimiento
legal y buenas prácticas técnicas.
Más allá de los sectores regulados
Si bien los sectores financieros, energéticos o sanitarios se encuentran históricamente más regulados por su impacto en la sociedad, la realidad demuestra que ninguna organización está exenta de riesgos cibernéticos. El ransomware, el espionaje industrial o el fraude digital afectan tanto a grandes corporaciones como a pymes, despachos profesionales o startups tecnológicas.
En este sentido, el marco legal proporciona un lenguaje común para abordar la
seguridad de manera transversal. La obligación de cumplir con determinadas
normativas impulsa a empresas de todos los tamaños a sistematizar sus controles
internos, asignar recursos y justificar inversiones en seguridad.
Cabe destacar que, además de los marcos generales como RGPD o NIS2, existen
regulaciones sectoriales que refuerzan la exigencia de medidas de seguridad
específicas. En el ámbito financiero, la Directiva (UE) 2015/2366 (PSD2) sobre
servicios de pago establece obligaciones estrictas en torno a la autenticación
reforzada del cliente (SCA) y la protección de las transacciones electrónicas. De
forma complementaria, el nuevo Reglamento (UE) 2022/2554, conocido como
DORA (Digital Operational Resilience Act), introduce un marco homogéneo para la
gestión de riesgos de tecnologías de la información y la comunicación (TIC) en
bancos, aseguradoras, empresas de inversión y proveedores de servicios financieros. Su objetivo es garantizar que el sector financiero europeo pueda resistir, responder y recuperarse de incidentes graves de ciberseguridad, reforzando tanto la continuidad de negocio como la confianza de los clientes.
En el sector de los seguros y la inversión, la normativa Solvencia II (Directiva
2009/138/CE) y la Directiva MiFID II (2014/65/UE) incorporan también requisitos de
gestión de riesgos tecnológicos y continuidad de negocio.
En España, la Ley 41/2002 de autonomía del paciente y el Reglamento (UE)
2017/745 sobre productos sanitarios obligan a reforzar la confidencialidad y
seguridad de la información clínica, mientras que el Real Decreto 43/2021, que
desarrolla el Real Decreto-ley 12/2018 en materia de seguridad de las redes y
sistemas de información, introduce obligaciones de seguridad específicas para
operadores de servicios esenciales y proveedores digitales. Asimismo, en el sector
energético, la normativa derivada del Reglamento (UE) 2019/941 sobre la
preparación frente a riesgos en el sector de la electricidad integra requisitos de
ciberseguridad como parte de la resiliencia operativa.
De este modo, el cumplimiento normativo no solo responde a exigencias genéricas,
sino también a requisitos especializados que varían en función de la actividad. Esto
consolida la idea de que el cumplimiento se convierte en un elemento diferenciador
en términos de reputación y competitividad, capaz de generar confianza en
clientes, inversores y socios estratégicos.
Sociedad digital y responsabilidad compartida
La interconexión global convierte la ciberseguridad en un bien público. Las
legislaciones que obligan a notificar incidentes de seguridad (artículo 33 del RGPD
o artículo 23 de la Directiva NIS2) fomentan una cultura de transparencia y
colaboración que trasciende lo empresarial. Estas obligaciones han permitido que las autoridades competentes recopilen información para mejorar la respuesta coordinada frente a ciberamenazas y que los ciudadanos tengan mayor conciencia sobre los riesgos a los que están expuestos.
La regulación, por tanto, no se limita a la protección de intereses privados, sino que
articula mecanismos de corresponsabilidad entre administraciones, sector privado y
ciudadanía, reforzando la resiliencia colectiva frente a riesgos globales.
Conclusiones: el cumplimiento como ventaja estratégica, la alianza entre
ingenieros y juristas y el papel del área de compliance
En un escenario donde las fronteras entre lo físico y lo digital se difuminan, el
cumplimiento normativo en materia de ciberseguridad se erige como un acelerador
estratégico que impulsa la profesionalización, legitima inversiones y fortalece la
confianza en el mercado.
Ahora bien, surge un debate relevante sobre la gobernanza interna del
cumplimiento normativo en relación con la ciberseguridad: ¿debe recaer la
responsabilidad legal en las áreas de compliance, tradicionalmente encargadas de la
supervisión normativa, o debe integrarse directamente en las áreas de
ciberseguridad?
Desde una perspectiva de gobierno corporativo, el área de compliance resulta
fundamental como garante de la correcta interpretación de la ley, de la alineación con el marco regulatorio vigente y de la articulación de la responsabilidad frente a órganos de supervisión externos. En este plano, compliance asegura que la organización no solo adopte medidas técnicas, sino que también pueda demostrar, mediante evidencias documentales y procesos de auditoría, que dichas medidas cumplen con la normativa aplicable. Así, compliance actúa como un puente entre las empresas y los reguladores.
Por otro lado, desde una perspectiva más operativa, resulta ineficiente que la
interpretación legal se mantenga aislada de la ejecución técnica. El área de seguridad de la información necesita traducir en controles concretos las obligaciones que impone la ley: cifrado, monitorización, gestión de incidentes, continuidad de negocio o notificación de brechas de seguridad. Para que este proceso sea ágil y eficaz, es necesario que el área de ciberseguridad asuma un rol activo en la gestión del cumplimiento, evitando que se convierta en una mera tarea administrativa desconectada de la realidad tecnológica.
La solución, en la práctica, no pasa por elegir una de las dos posiciones de forma
excluyente, sino por construir modelos de colaboración que integren ambas visiones. El área de compliance debe liderar el alineamiento con la estrategia corporativa y las exigencias regulatorias, mientras que ciberseguridad debe operacionalizar dichos requisitos, asegurando que las medidas técnicas implantadas no solo cumplen con la norma, sino que también aportan valor en términos de reducción del riesgo.
En este contexto, cobra aún más relevancia la colaboración multidisciplinar entre
ingenieros y juristas. Los primeros garantizan la viabilidad técnica y la eficacia de los
controles, mientras que los segundos interpretan y traducen el marco normativo en
obligaciones aplicables a la organización. El futuro de la ciberseguridad corporativa
pasa, por tanto, por estructuras híbridas donde compliance y ciberseguridad actúen de forma coordinada, evitando silos organizativos y promoviendo un modelo de
gobernanza integral que combine visión legal, estratégica y operativa. No debería de
ser raro encontrarnos perfiles jurídicos como parte de los equipos operativos de las
áreas de seguridad de la información.
Sergio Padilla Foubello
Director Cátedra Ciberseguridad EIP International Business School
¿Quieres formarte en Ciberseguridad? En EIP tenemos la mejor formación
