El actual marco regulatorio en materia de ciberseguridad y protección de infraestructuras críticas en España, articulado en torno a la Directiva NIS2, el Esquema Nacional de Seguridad (ENS) y el Sistema de Protección de Infraestructuras Críticas (PIC), establece un nivel mínimo de exigencia cada vez más elevado. Sin embargo, el cumplimiento formal no garantiza por sí mismo la resiliencia operativa.

A continuación se propone una hoja de ruta de diez pilares que conecta explícitamente los requerimientos normativos con las capacidades reales de resiliencia. Se identifican brechas habituales en la implementación, se alinean prácticas avanzadas con artículos de NIS2, ENS y PIC, y se plantean líneas de evolución hacia modelos dinámicos, integrados y orientados a la continuidad efectiva del funcionamiento.

Manuel Sánchez Gómez-Merelo
Consultor Internacional de Seguridad

 

 

Veamos esquemáticamente la realidad de nuestra percepción y establecer un decálogo sobre la resiliencia real de la Seguridad Integral e Integrada ante el nuevo Marco Regulatorio Global.

 

Introducción: del “compliance” a la resiliencia operativa

El ecosistema de protección de infraestructuras críticas en España ha experimentado una profunda transformación en los últimos años, impulsado por marcos como la Directiva NIS2, el Esquema Nacional de Seguridad (ENS) y el Sistema de Protección de Infraestructuras Críticas (PIC). Este entramado normativo ha elevado el nivel mínimo exigible, pero también ha generado un riesgo: confundir cumplimiento con resiliencia.

En un entorno caracterizado por amenazas híbridas, interdependencias sistémicas y alta exposición tecnológica, el verdadero reto no es cumplir, sino resistir, adaptarse y recuperar el funcionamiento bajo condiciones adversas.

Gobierno y liderazgo operativo: más allá del marco formal

El marco PIC establece obligaciones claras en cuanto a planes de seguridad del operador (PSO) y planes de protección específicos (PPE). Sin embargo, muchas organizaciones limitan su gobernanza a la elaboración documental.

Así, las organizaciones más avanzadas, especialmente en sectores como energía o transporte, están evolucionando hacia: la creación de comités de resiliencia con capacidad ejecutiva real; la integración del CISO y del responsable de operaciones en la toma de decisiones estratégicas; el establecimiento de modelos de “command & control” adaptados a crisis complejas; incorporando centros de control integrados donde convergen ciberseguridad, operación y continuidad.

La evolución necesaria debe orientarse hacia: la integración de la resiliencia en el gobierno corporativo; la responsabilidad directa del órgano de dirección en decisiones de ciberseguridad; y la creación de estructuras de mando operativas para su activación en incidentes o contingencias.

Inteligencia y anticipación de amenazas: del IOC al contexto operativo

La Directiva NIS2 refuerza la necesidad de capacidades de detección y respuesta, pero el valor diferencial reside en la anticipación.

Es por ello que la evolución es preciso orientarla hacia: la integración de inteligencia de riesgos y amenazas en procesos operativos; el establecimiento de capacidades de análisis predictivo; la correlación entre amenazas globales y activos críticos específicos.

Gestión dinámica avanzada de riesgos: alineando ENS y operación real

El ENS exige análisis de riesgos periódicos, pero la volatilidad actual requiere modelos continuos.

Las buenas prácticas emergentes se orientan hacia: la creación de cuadros de mando de riesgo en tiempo real; la integración y gestión con SOC (Security Operations Center); y el uso de indicadores como KRIs (Key Risk Indicators) vinculados a la operación.

La evolución necesaria debe orientarse hacia: modelos dinámicos de gestión del riesgo en tiempo real; la integración con indicadores operativos (KRIs); y la priorización basada en impacto en continuidad de servicio.

Gestión de dependencias críticas: el talón de Aquiles sistémico

La normativa actual comienza a abordar la cadena de suministro (especialmente en la NIS2), pero su implementación sigue siendo incipiente.

En este sentido, aspectos clave en el contexto español son: la dependencia de proveedores tecnológicos internacionales; la interconexión entre sectores (energía, telecomunicaciones, transporte, etc.); y la externalización de los servicios críticos.

La resiliencia exige mapear estas dependencias con precisión y establecer acuerdos operativos, no solo contractuales.

Es por ello que la evolución es preciso orientarla hacia: el mapeo exhaustivo de dependencias; la evaluación continua de proveedores críticos; y el establecimiento de planes de contingencia para fallos externos.

Integración IT/OT: el gran desafío de NIS2

La convergencia IT/OT es uno de los ejes centrales de la NIS2, pero su implementación real presenta fricciones derivadas de: diferencias culturales entre equipos; tecnologías OT legacy sin capacidades de seguridad nativas; y riesgo de impacto operativo al aplicar controles IT tradicionales.

En este sentido, la evolución necesaria debe orientarse hacia: la visibilidad unificada IT/OT; la creación de equipos multidisciplinares; y el establecimiento de controles adaptados a entornos industriales.

Capacidad de operación degradada: resiliencia en acción

Uno de los aspectos menos desarrollados en los marcos normativos es la capacidad de operar en condiciones degradadas.

Esto implica que hay que: definir niveles de servicio mínimos aceptables; diseñar procedimientos manuales; y entrenar al personal en escenarios sin soporte tecnológico.

Es por ello que la evolución es preciso orientarla hacia: la definición de modos degradados; la implementación de procedimientos manuales alternativos; y la priorización de servicios esenciales.

Gestión avanzada de crisis: del plan al músculo operativo

El ENS y la NIS2 exigen planes de respuesta, pero la diferencia está en su ejecución.

En este sentido, las organizaciones más maduras cuentan con: centros de gestión de crisis (Crisis Management Rooms); protocolos de escalado claros; e integración con comunicación corporativa y legal.

La evolución necesaria debe orientarse hacia el establecimiento de: centros de gestión de crisis; protocolos de escalado claros; e integración con comunicación y regulación.

Ecosistema y coordinación externa: resiliencia compartida

El modelo español, basado en la colaboración público-privada, es una fortaleza, pero aún infrautilizada.

Algunas de las claves son: la participación activa en comunidades u organizaciones sectoriales; el intercambio de información en tiempo real; la coordinación con Fuerzas y Cuerpos de Seguridad.

Es por ello que la evolución es preciso orientarla hacia: el intercambio activo de inteligencia; la coordinación operativa y efectiva público-privada; y la participación en redes sectoriales.

Cultura y factor humano: el multiplicador silencioso

Ni el ENS ni la NIS2 pueden garantizar una cultura organizativa resiliente y este es un elemento estratégico que precisa de: formación continua y especializada basada en escenarios reales; cultura de reporte sin penalización; e integración de la resiliencia en el día a día operativo.

A todo ello, hay que añadirle la realización de simulacros avanzados y entrenamiento en condiciones reales. Los simulacros exigidos por normativa suelen ser predecibles. La tendencia actual apunta hacia ejercicios más exigentes con: simulaciones realistas y no guionizadas; escenarios híbridos (ciber + físico); y evaluación basada en métricas.

La evolución necesaria debe orientarse hacia: la capacitación basada en roles; la cultura de resiliencia operativa; e incentivos alineados con seguridad.

CONCLUSIÓN: Cumplimiento como Base, Resiliencia como Objetivo

España cuenta con un marco normativo robusto y en evolución. Sin embargo, el verdadero diferencial competitivo y operativo reside en la capacidad de las organizaciones para ir más allá del cumplimiento.

La resiliencia real no se audita únicamente: se entrena, se mide en crisis y se construye día a día integrando personas, procesos y tecnología.

En un contexto donde lo improbable se vuelve recurrente, la pregunta ya no es si una organización cumple, sino si está preparada para seguir operando cuando todo lo demás falla.

Es por ello que la evolución es preciso orientarla hacia: la automatización de la resiliencia aplicada a riesgo y respuesta; la integración de resiliencia climática y física; y la implantación de métricas estandarizadas de resiliencia operativa.

El futuro de la protección de las infraestructuras críticas dependerá menos de nuevas normas y más de cómo se implementen en la práctica.

Las organizaciones que liderarán este cambio serán aquellas capaces de: integrar cumplimiento y operación; evolucionar hacia modelos dinámicos; y entrenar su resiliencia en condiciones reales.

En última instancia, la resiliencia no se demuestra en auditorías, sino en la capacidad de mantener la operación cuando el entorno deja de ser favorable.