Más de 100 profesionales se reúnen en el Foro Regional de Ciberseguridad de ISMS Forum Portugal
ISMS Forum y su capítulo internacional en Portugal celebraron el pasado día 9 en Lisboa la tercera edición del Foro Regional de Ciberseguridad, una jornada que reunió, a cerca de un centenar de profesionales y que situó en el centro del debate dos asuntos que hoy ya forman parte de la agenda estratégica de empresas e instituciones en Portugal, la gobernanza responsable de la inteligencia artificial y la adaptación al nuevo Regime Jurídico da Cibersegurança, en vigor desde el 3 de abril. El encuentro contó, además, con participación institucional del Centro Nacional de Cibersegurança (CNCS).
La sesión fue inaugurada por Roberto Baratta, presidente de ISMS Forum; y director of Loss Prevention, Business, Continuity and Security and DPO, Abanca. La jornada incorporó también la participación institucional de Teresa Marchão, del Departamento de Regulação, Supervisão e Certificação del CNCS. En su presentación, Marchão trasladó una idea especialmente relevante para el tejido empresarial al subrayar que Portugal está avanzando “de la conformidad a la resiliencia”, un cambio de enfoque que obliga a integrar la ciberseguridad en la estructura de gobierno, en la gestión del riesgo y en la continuidad operativa de las organizaciones.
Marchão recordó que el Decreto-Lei n.º 125/2025, que transpone la Directiva (UE) 2022/2555, entró en vigor el 3 de abril de 2026; que el CNCS mantiene abierta hasta el 22 de abril la consulta pública del reglamento que desarrollará parte de este nuevo marco; y que las entidades pueden utilizar desde el 6 de abril el simulador habilitado por el propio CNCS para comprobar si están dentro del ámbito de aplicación. También explicó que el régimen alcanza a entidades esenciales, importantes y públicas relevantes, y que introduce obligaciones concretas de autoidentificación, registro, designación de responsable de ciberseguridad y punto de contacto permanente, además de niveles de conformidad: básico, sustancial o elevado, vinculados a medidas mínimas de ciberseguridad.
Desde el CNCS se lanzó además un mensaje directo a las organizaciones, la ciberseguridad pasa a exigirse al máximo nivel de decisión. Los órganos de gestión, dirección y administración deberán asumir la aprobación y supervisión de las medidas de gestión del riesgo e impulsar formación periódica, consolidando la ciberseguridad como una responsabilidad de negocio y de gobierno corporativo.
Gobernanza de la IA: de la adopción al modelo de control
En paralelo, el foro sirvió para presentar AI Governance, iniciativa expuesta por Sergio Padilla, responsable de la Oficina del Dato del Banco de España y Board Member de ISMS Forum. El proyecto plantea un marco estructurado para ayudar a las organizaciones a pasar de la adopción de la IA a modelos sólidos de gobierno, incorporando el enfoque AI Governance by Design e integrando desde el inicio la ética, la seguridad y la protección de datos a lo largo de todo el ciclo de vida de los sistemas de inteligencia artificial.
La guía pone el foco en una cuestión ya crítica para empresas y administraciones, definir un modelo de gobierno de la IA con roles claros, políticas internas, mecanismos de control y una coordinación efectiva entre perfiles como seguridad, privacidad, cumplimiento y asesoría legal. La tesis de fondo también es clara, sin gobernanza, la IA no escala con garantías, no reduce correctamente el riesgo y no se integra de forma robusta en el marco regulatorio que ya empieza a exigir el mercado.
El CISO entra definitivamente en el lenguaje del comité de dirección
Otro de los proyectos presentados fue Cyber Indicators Framework: The CISO and Senior Management, dado a conocer por Álvaro Ontañón, CIO/CTO de Merlin Properties. El informe analiza cómo los indicadores de ciberseguridad pueden ayudar a comités de dirección y consejos de administración a entender el impacto del riesgo cibernético y a tomar decisiones mejor informadas. El objetivo es dotar al CISO de un lenguaje más ejecutivo, homogéneo y accionable para trasladar al negocio prioridades, exposición y desempeño.
En el plano estrictamente regulatorio, la jornada permitió aterrizar también algunas de las novedades más relevantes del nuevo marco portugués, entre ellas la incorporación del artículo 8.º-A a la Lei do Cibercrime, que prevé supuestos tasados de actos no punibles por interés público de ciberseguridad. Para el ecosistema especializado, este es uno de los cambios que sitúan a Portugal en una conversación europea especialmente sensible sobre investigación, divulgación responsable y seguridad ofensiva con garantías.
El cierre del III Foro Regional de ISMS Forum Portugal corrió a cargo de Ramsés Gallego, miembro del Comité Técnico Operativo del capítulo español de Cloud Security Alliance, con una ponencia centrada en la convergencia entre ciberseguridad, negocio e inteligencia artificial. Su intervención cerró el encuentro con una idea que estuvo presente a lo largo de toda la jornada, la inteligencia artificial ya condiciona decisiones estratégicas y su adopción exige estructuras de gobierno sólidas, criterio y capacidad ejecutiva.
