Cómo preparar tu empresa para las próximas normativas de ciberseguridad y privacidad

La investigación de Canon reveló que los líderes de TI califican constantemente la seguridad de la información como una de sus tres principales responsabilidades más difíciles y laboriosas de los últimos cinco años.

De hecho, la seguridad de la información (33 %) se clasificó como el principal desafío, seguido de cerca por el mantenimiento del cumplimiento (25 %). Como tal, la seguridad de la información sigue siendo una preocupación apremiante puesto que las obligaciones normativas y la complejidad tecnológica son cada vez mayores.

Las regulaciones van en aumento. UE y gobiernos nacionales refuerzan y amplían el alcance de las directivas de seguridad para fortalecer la protección de la información. A medida que entran en vigor nuevas iniciativas, cada vez son más los sectores sujetos a la legislación y al requisito de fortalecer las medidas de seguridad y a presentar informes.

Esta «revolución normativa» va a continuar, por lo que no solo tendrás que estudiar tu caso y planificarlo con antelación, sino también enfrentarte a importantes retos. Algunas de estas regulaciones como DORA, que entró en vigor a principios de 2025, requieren atención urgente y obligan a realizar pruebas de resiliencia y a cierta supervisión, factores que afectan tanto a las empresas como a sus clientes. Otras, como la Ley de resiliencia cibernética que entrará en vigor en parte en 2026 y en su totalidad en 2027, garantizarán que el cumplimiento siga siendo una prioridad en los próximos años.

La directiva NIS2 (Network and Information System 2), también es un factor clave del cambio. Diseñada para reforzar la ciberresiliencia en toda la UE, la NIS2 amplía el alcance de su predecesora, la NIS, mediante la introducción de obligaciones más estrictas de gestión de riesgos y notificación de incidentes y la mejora en la supervisión normativa.

Para hacer frente a los retos actuales y adaptarse al cambiante panorama de la seguridad de la información del futuro, es fundamental trabajar con un socio con el grado de experiencia y las soluciones para preparar sus operaciones para el futuro. Si adoptan un enfoque proactivo en seguridad de la información y consideran los siguientes puntos clave, las empresas pueden anticiparse a las nuevas regulaciones y evitar ajustes operativos costosos conforme se acercan los plazos de implementación.

Las empresas deben tener un conocimiento claro de las legislaciones que se aplican a su negocio, sector y región local, y esto se puede lograr consultando a los equipos legales o expertos pertinentes en esta área. De esta forma las organizaciones comprenderán mejor las implicaciones y el impacto en su negocio.

También es fundamental implementar un proceso para la supervisión continua de la legislación y las tendencias normativas emergentes. Esto se podría gestionar a través de un equipo interno dedicado o externalizarse a un proveedor experto, lo que permitirá a las organizaciones anticiparse a los requisitos futuros y adaptarse proactivamente.

Con el fin de adaptarse al cambiante panorama normativo, puede que los equipos de seguridad también tengan que ampliarse, ya sea contratando o formando a personal especializado en el cumplimiento de las normativas de seguridad, interpretar la legislación e implementar controles de seguridad. Esto puede afectar a los recursos, el personal y el presupuesto, en función del nivel de adaptación requerido.

Los equipos de TI también deben adaptar y establecer procesos claros para la generación de informes de vulnerabilidades, la aplicación de parches, la respuesta a incidentes y la notificación de filtraciones de datos, como exige la NIS2. Estos procesos son esenciales y deben documentarse y revisarse periódicamente para ayudar a garantizar el cumplimiento. Cuando sea necesario, es posible que las organizaciones también necesiten invertir en software adicional y en tecnologías más amplias que respalden estos procesos.

Los proveedores pueden estar fuera de tu organización, pero sus procesos y el cumplimiento normativo de los informes pueden tener un impacto directo en tu organización. Es importante colaborar con tus proveedores, comprender sus prácticas de seguridad y llevar a cabo auditorías que te ayuden a garantizar que se ajusten a tus propios estándares de cumplimiento.

Aunque algunos incidentes de seguridad pueden tener un impacto significativo en tu negocio, es importante que los empleados comuniquen los riesgos que detectan, y que se fomente una cultura de informes abiertos. Fomentar la generación de informes internos permitirá a tu organización aprender de los errores y poner en marcha nuevos procesos, sin temor a represalias.

Las nuevas normativas emergentes son una fuerza positiva para los consumidores y el sector de la seguridad en su conjunto y, en última instancia, desembocarán en un panorama digital más seguro y transparente para las empresas. Si bien puede haber un coste a corto plazo, los beneficios a largo plazo de la adaptación y adopción de un enfoque proactivo de la regulación superan con creces los desafíos.