New Eip Logo
EIP Talent Student access
  • es_ES
  • en_GB

Share on social networks!

Past, present and future of cybersecurity regulation

by
cybersecurity hacking master eip

El panorama regulatorio actual en materia de ciberseguridad está en un constante cambio en respuesta a su intento de afrontar las crecientes riesgos y amenazas, así como desafíos tecnológicos que encara la sociedad. De esta forma, durante los últimos años se ha podido apreciar un paulatino avance de la normativa cyber tanto a nivel europeo como nacional.

¿Cuál es el panorama normativo actual?

Echando la vista atrás cinco años, nos encontrábamos apenas con una Ley de Protección de Infraestructuras Críticas bastante asentada a nivel nacional, una Directiva NIS a nivel europeo que aún se encontraba pendiente de transponer al ordenamiento jurídico español, y un National Security Scheme cuya aplicación directa era fundamentalmente a las Administraciones Públicas, además de otros estándares o normativas sectoriales que tenían un foco específico. Pero poco más.

Ciudad Inteligente Futurista Tecnologia Red Global 5g (1)

However, hoy en día nos encontramos con un conjunto de regulaciones muy diferente y que a futuro se prevé incluso que cambie. Entre ellas hay que destacar principalmente:

  • Ley NIS y su Reglamento de Desarrollo: la Directiva NIS se transpuso al ordenamiento jurídico español, definiendo la necesidad de tener la figura de un Responsable de Seguridad de la Información y concretando aquellos ámbitos a tener en cuenta en lo referente a la gestión de riesgos de seguridad y la notificación de incidentes.
  • NIS 2 Directive: en paralelo, a nivel europeo se ha procedido a realizar una actualización de la Directiva anterior, en el que se amplía el ámbito de aplicación en busca de la homogeneización a nivel europeo y se eleva la necesidad de un respaldo por parte de los Órganos de Dirección. De esta forma, la Ley NIS y su Reglamento de Desarrollo a nivel nacional deben ser actualizados para cubrir con esta nueva Directiva.
  • Directiva CER: a la vez que se publicó la Directiva NIS 2, también se ha emitido a nivel europeo la actualización de la Directiva de la que partió la Ley de Protección de Infraestructuras Críticas[5], por lo que también se espera una actualización de la norma en este sentido.
  • Reglamento DORA: en el sector financiero se ha publicado este Reglamento que tiene un impacto más amplio si cabe y que actúa como regulación específica para todo el sector, tratando de unificar los requerimientos que afectan a un sector tan crítico como este, en busca de un elevado nivel de resiliencia de todo el ecosistema financiero.
  • Otras normativas a nivel europeo que pretenden completar la protección del mercado europeo, como el Cyber Security Act, he Cyber Solidary Act or the Cyber Resilience Act.
  • Esquema Nacional de Seguridad actualizado: la necesidad de actualizar a los riesgos actuales de ciberseguridad una norma que detalla a nivel técnico requisitos de seguridad que deben cumplir las administraciones públicas ha dado lugar a una nueva regulación, que además hace más hincapié si cabe en la necesidad de que aquellas entidades que trabajen con la Administración Pública también cumplan con él.
  • Actualizaciones de estándares, como ISO 27001, NIST, PCI-DSS o SWIFT CSP: el avance tecnológico, tanto en cuanto a los sistemas como a las ciberamenazas, hacen que los estándares estén en constante evolución para poder mantener un nivel de protección acorde a la situación actual.
Ordenador Portatil Mazo Mesa (1)

¿Por qué este incremento de presión regulatoria?

Esta situación de cambio normativa hace frente a situaciones que se han vivido durante los últimos años, como la mayor sofisticación de las ciberamenazas, un incremento de los ataques que van dirigidos a detener las operaciones de las organizaciones (como, por ejemplo, el ransomware), el aumento del teletrabajo a raíz de la pandemia del COVID-19, e incluso tensiones geopolíticas que han incrementado los ciberataques entre naciones.

Estos factores dan como resultado que gran parte de estas normas van dirigidas a aumentar la resiliencia frente a ciberataques, centrándose fundamentalmente en cuatro aspectos:

  • A nuevo enfoque en el que la ciberseguridad esté plenamente engarzada e integrada con la continuidad de negocio y la gestión de crisis. Esto es, la extensión de la ciberseguridad como disciplina trascienda más allá del ámbito estrictamente preventivo y de protección y por tanto que aporte a la resiliencia de las organizaciones.
  • Un adecuado gobierno de la seguridad en las entidades, con responsabilidades claras en materia de seguridad y una involucración plena de la Alta Dirección.
  • A conjunto de medidas de seguridad que hagan frente a los principales problemas a los que se enfrentan las entidades en función de su propia naturaleza, de forma que puedan focalizarse los esfuerzos en aquellos puntos de mayor riesgo.
  • Unos mecanismos adecuados para gestionar y notificar los incidentes, de forma que las autoridades de supervisión puedan tener información para actuar y minimizar el daño de los incidentes, tanto colaborando con las entidades afectadas como tratando de evitar la rápida propagación de estos.

¿Qué podemos esperar en el futuro?

El avance de la tecnología, incluyendo por ejemplo la Inteligencia Artificial, la Computación Cuántica u otras materias similares supondrán la aparición de nuevos riesgos, y es por ello por lo que muchas de las normativas quedan abiertas a poder realizar una gestión de riesgos que permita a partir de ahí definir las medidas de seguridad más adecuadas. Sin embargo, y pese a que las normativas, como la Directiva NIS 2, pretende corregir debilidades observadas en las anteriores versiones como la falta de homogeneización, será necesario continuar con la evolución de estas para poder establecer un marco de referencia que garantice un nivel de protección adecuado para la sociedad en general y las entidades en particular.

Glosario

[1] Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión. https://www.boe.es/doue/2016/194/L00001-00030.pdf

[1] Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. https://www.boe.es/diario_boe/txt.php?id=BOE-A-2021-1192

[1] Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) nº 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2). https://www.boe.es/buscar/doc.php?id=DOUE-L-2022-81963

[1] Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a la resiliencia de las entidades críticas y por la que se deroga la Directiva 2008/114/CE del Consejo. BOE.es – DOUE-L-2022-81965 Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a la resiliencia de las entidades críticas y por la que se deroga la Directiva 2008/114/CE del Consejo. https://www.boe.es/buscar/doc.php?id=BOE-A-2011-8849

[1] Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas. https://www.boe.es/buscar/pdf/2011/BOE-A-2011-7630-consolidado.pdf

[1] Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) nº 1060/2009, (UE) nº 648/2012, (UE) nº 600/2014, (UE) nº 909/2014 y (UE) 2016/1011. https://www.boe.es/buscar/doc.php?id=DOUE-L-2022-81962

[1]Cyber Security Act: https://digital-strategy.ec.europa.eu/en/policies/cybersecurity-act

[1] Cyber Solidarity Act: https://www.eu-cyber-solidarity-act.com/

[1] Cyber Resilience Act: https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act [1] Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad. https://www.boe.es/buscar/doc.php?id=BOE-A-2022-7191

Subscribe to our newsletter to stay up to date with all the news

EIP International Business School informs you that the data in this form will be processed by Mainjobs Internacional Educativa y Tecnológica, SAU as the party responsible for this website. The purpose of collecting and processing personal data is to manage your subscription to the newsletter as well as to send commercial information about the services of the data controller. The legitimacy is the explicit consent of the interested party. Data will not be transferred to third parties, except under legal obligation. You may exercise your rights of access, rectification, limitation and deletion of data at compliance@grupomainjobs.com, as well as the right to lodge a complaint with the supervisory authority. You can consult additional and detailed information on Data Protection in the Privacy Policy that you will find on our website.
Master Cybersecurity Professional Master

Leave a comment

EIP International Business School informs you that the data in this form will be processed by Mainjobs Internacional Educativa y Tecnológica, SAU as the party responsible for this website. The purpose of collecting and processing personal data is to manage your subscription to the newsletter as well as to send commercial information about the services of the data controller. The legitimacy is the explicit consent of the interested party. Data will not be transferred to third parties, except under legal obligation. You may exercise your rights of access, rectification, limitation and deletion of data at compliance@grupomainjobs.com, as well as the right to lodge a complaint with the supervisory authority. You can consult additional and detailed information on Data Protection in the Privacy Policy that you will find on our website.

Members of 

Latin American Council Schools Admission Logo
Business School Logo
Euphe 1
Euphe 2

Recognitions

Qs Rating Horizontal 0
Qs Rating Horizontal 4
Qs Rating Horizontal 1
Qs Rating Horizontal 2
Qs Rating Horizontal 3
Qualificam Logo Footer

Educational partners

Harvard Negative (1)
Microsoft Academy (1)
Aws Academy Logo Footer
Cisco Networking Academy White
Ausape Logo
Logo Compliant Professional Association White
Buildingsmart Rgb Spain Chapter Member V2
Pmp Logo Footer
Global Suite Logo White
Minsoit Sap Svg
Pvsyst Logo
Logo Capman Footer
Toeic Logo White
Python Institute Logo White
Its Logo White
Ccsp Badge
Cdpp
Cpcc
oscp-certified
Legal warning Use of Cookies Privacy Policy Quality politics Complaint channel Registration Conditions join us

EIP Teatinos University Campus - Málaga - Spain

© EIP | International Business School 2010-2025

Trademark registered with the OEPM. No. 3,735,191