{"id":102790,"date":"2026-06-17T12:25:20","date_gmt":"2026-06-17T10:25:20","guid":{"rendered":"https:\/\/eiposgrados.com\/?p=102790"},"modified":"2026-06-17T12:25:23","modified_gmt":"2026-06-17T10:25:23","slug":"legislation-and-cybersecurity","status":"publish","type":"post","link":"https:\/\/eiposgrados.com\/eng\/blog-ciberseguridad\/legislacion-y-ciberseguridad\/","title":{"rendered":"Legislation and cybersecurity: lawyers and engineers, a strategic partnership"},"content":{"rendered":"
<\/p>\n\n\n\n
Mucho se ha hablado y escrito acerca del papel de las regulaciones en la seguridad de la informaci\u00f3n. Con este art\u00edculo pretendo dar una opini\u00f3n, debatible y rebatible, acerca de este aspecto y posicionarme en que los perfiles legislativos y t\u00e9cnicos solo pueden trabajar de la mano para lograr el fin ansiado y perseguido de disfrutar de una sociedad cibersegura y resiliente.<\/p>\n\n\n\n
La ciberseguridad ha dejado de ser un \u00e1mbito circunscrito a cuestiones meramente t\u00e9cnicas para convertirse en un componente esencial de la gobernanza corporativa y de la seguridad nacional en el caso de los gobiernos y las administraciones p\u00fablicas. En este contexto, la legislaci\u00f3n y el cumplimiento normativo no deben interpretarse como una carga administrativa, sino como un aliado fundamental que impulsa a las organizaciones a elevar su nivel de madurez en la gesti\u00f3n de riesgos digitales.<\/p>\n\n\n\n
El marco normativo como catalizador de la ciberseguridad<\/strong><\/h2>\n\n\n\n
El desarrollo legislativo en materia de ciberseguridad y protecci\u00f3n de datos ha introducido est\u00e1ndares m\u00ednimos que obligan a las empresas a integrar la seguridad en sus procesos de gesti\u00f3n. El Reglamento General de Protecci\u00f3n de Datos (RGPD, Reglamento (UE) 2016\/679) supuso un hito al establecer obligaciones estrictas sobre el tratamiento de informaci\u00f3n personal, con mecanismos de responsabilidad proactiva (\u201caccountability\u201d) y sanciones significativas en caso de incumplimiento. Su impacto ha ido m\u00e1s all\u00e1 de la privacidad: ha reforzado la necesidad de incorporar pol\u00edticas de seguridad robustas para garantizar la confidencialidad, integridad y disponibilidad de los datos, en este caso de car\u00e1cter personal, pero perfectamente extrapolable a cualquier otro tipo de informaci\u00f3n.<\/p>\n\n\n\n
En paralelo, la Directiva (UE) 2016\/1148, conocida como Directiva NIS, y su revisi\u00f3n a trav\u00e9s de la Directiva (UE) 2022\/2555 (NIS2), han ampliado la exigencia de medidas de seguridad a un mayor n\u00famero de sectores, incluyendo servicios esenciales y proveedores de servicios digitales. La transposici\u00f3n de NIS2 a los ordenamientos nacionales, incluida Espa\u00f1a, obliga a muchas pymes y medianas empresas que forman parte de cadenas de suministro cr\u00edticas a adoptar medidas de ciberseguridad que antes no eran exigibles. Este marco normativo est\u00e1 contribuyendo a la creaci\u00f3n de un ecosistema m\u00e1s homog\u00e9neo y resiliente frente a amenazas transnacionales.<\/p>\n\n\n\n
Asimismo, normativas sectoriales como el Real Decreto-ley 12\/2018, de seguridad de las redes y sistemas de informaci\u00f3n en Espa\u00f1a, o est\u00e1ndares internacionales como la ISO\/IEC 27001, refuerzan la necesidad de alineamiento entre cumplimiento legal y buenas pr\u00e1cticas t\u00e9cnicas.<\/p>\n\n\n\n\n\n
<\/p>\n\n\n\n
M\u00e1s all\u00e1 de los sectores regulados<\/strong><\/h2>\n\n\n\n
Si bien los sectores financieros, energ\u00e9ticos o sanitarios se encuentran hist\u00f3ricamente m\u00e1s regulados por su impacto en la sociedad, la realidad demuestra que ninguna organizaci\u00f3n est\u00e1 exenta de riesgos cibern\u00e9ticos. El ransomware, el espionaje industrial o el fraude digital afectan tanto a grandes corporaciones como a pymes, despachos profesionales o startups tecnol\u00f3gicas.<\/p>\n\n\n\n
En este sentido, el marco legal proporciona un lenguaje com\u00fan para abordar la seguridad de manera transversal. La obligaci\u00f3n de cumplir con determinadas normativas impulsa a empresas de todos los tama\u00f1os a sistematizar sus controles internos, asignar recursos y justificar inversiones en seguridad.<\/p>\n\n\n\n
Cabe destacar que, adem\u00e1s de los marcos generales como RGPD o NIS2, existen regulaciones sectoriales que refuerzan la exigencia de medidas de seguridad espec\u00edficas. En el \u00e1mbito financiero, la Directiva (UE) 2015\/2366 (PSD2) sobre servicios de pago establece obligaciones estrictas en torno a la autenticaci\u00f3n reforzada del cliente (SCA) y la protecci\u00f3n de las transacciones electr\u00f3nicas. De forma complementaria, el nuevo Reglamento (UE) 2022\/2554, conocido como DORA (Digital Operational Resilience Act), introduce un marco homog\u00e9neo para la gesti\u00f3n de riesgos de tecnolog\u00edas de la informaci\u00f3n y la comunicaci\u00f3n (TIC) en bancos, aseguradoras, empresas de inversi\u00f3n y proveedores de servicios financieros. Su objetivo es garantizar que el sector financiero europeo pueda resistir, responder y recuperarse de incidentes graves de ciberseguridad, reforzando tanto la continuidad de negocio como la confianza de los clientes.<\/p>\n\n\n\n
En el sector de los seguros y la inversi\u00f3n, la normativa Solvencia II (Directiva 2009\/138\/CE) y la Directiva MiFID II (2014\/65\/UE) incorporan tambi\u00e9n requisitos de gesti\u00f3n de riesgos tecnol\u00f3gicos y continuidad de negocio.<\/p>\n\n\n\n
En Espa\u00f1a, la Ley 41\/2002 de autonom\u00eda del paciente y el Reglamento (UE) 2017\/745 sobre productos sanitarios obligan a reforzar la confidencialidad y seguridad de la informaci\u00f3n cl\u00ednica, mientras que el Real Decreto 43\/2021, que desarrolla el Real Decreto-ley 12\/2018 en materia de seguridad de las redes y sistemas de informaci\u00f3n, introduce obligaciones de seguridad espec\u00edficas para operadores de servicios esenciales y proveedores digitales. Asimismo, en el sector energ\u00e9tico, la normativa derivada del Reglamento (UE) 2019\/941 sobre la preparaci\u00f3n frente a riesgos en el sector de la electricidad integra requisitos de ciberseguridad como parte de la resiliencia operativa.<\/p>\n\n\n\n
De este modo, el cumplimiento normativo no solo responde a exigencias gen\u00e9ricas, sino tambi\u00e9n a requisitos especializados que var\u00edan en funci\u00f3n de la actividad. Esto consolida la idea de que el cumplimiento se convierte en un elemento diferenciador en t\u00e9rminos de reputaci\u00f3n y competitividad, capaz de generar confianza en clientes, inversores y socios estrat\u00e9gicos.<\/p>\n\n\n\n
Sociedad digital y responsabilidad compartida<\/strong><\/h2>\n\n\n\n
La interconexi\u00f3n global convierte la ciberseguridad en un bien p\u00fablico. Las legislaciones que obligan a notificar incidentes de seguridad (art\u00edculo 33 del RGPD o art\u00edculo 23 de la Directiva NIS2) fomentan una cultura de transparencia y colaboraci\u00f3n que trasciende lo empresarial. Estas obligaciones han permitido que las autoridades competentes recopilen informaci\u00f3n para mejorar la respuesta coordinada frente a ciberamenazas y que los ciudadanos tengan mayor conciencia sobre los riesgos a los que est\u00e1n expuestos.<\/p>\n\n\n\n
La regulaci\u00f3n, por tanto, no se limita a la protecci\u00f3n de intereses privados, sino que articula mecanismos de corresponsabilidad entre administraciones, sector privado y ciudadan\u00eda, reforzando la resiliencia colectiva frente a riesgos globales.<\/p>\n\n\n\n<\/a><\/figure>\n\n\n\n
![\"cybersecurity\"](\"https:\/\/eiposgrados.com\/wp-content\/uploads\/2026\/06\/captura-de-pantalla-2026-06-10-023022.png\" "\\"Captura")
<\/a><\/figure>\n\n\n\n