Casmar y Desico reúnen a expertos institucionales y del sector privado para evaluar el impacto de NIS2, CER y LINCE en España

El 10 de junio se celebró en Madrid una jornada organizada por Casmar y Desico, con la colaboración de ACAES y la Fundación Borredá, en la que se analizaron las implicaciones prácticas de la directiva NIS2, la normativa CER y el esquema LINCE para el tejido empresarial español. Representantes del CNPIC, CPSTIC (CNI) y Deloitte Legal, junto con expertos en integración tecnológica, ciberseguridad y asesoría normativa, coincidieron en la urgencia de anticiparse a las obligaciones regulatorias que se desplegarán durante los próximos meses. El evento, celebrado en el espacio Green Patio, se estructuró en dos mesas redondas: una con enfoque institucional y otra centrada en casos reales. Ambas abordaron el nuevo modelo de gobernanza de la seguridad, la ampliación del ámbito normativo, la fusión de la seguridad física y lógica y la necesidad de que las pymes accedan a recursos proporcionales.

Las normativas abordadas tienen como objetivo reforzar la ciberseguridad y la protección de infraestructuras críticas mediante nuevas exigencias organizativas, técnicas y jurídicas que afectarán a más de 10.000 empresas en España, muchas de ellas pymes. Además de ampliar el ámbito de aplicación, se introducen obligaciones de gobernanza, supervisión, formación y certificación, tanto en entidades públicas como privadas. La jornada abordó estos retos con un enfoque pragmático y especializado.

La primera mesa redonda, de carácter institucional, reunió a portavoces del Departamento de Seguridad Nacional, el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC) y el Centro Criptológico Nacional (CCN), quienes trazaron un mapa normativo del nuevo ecosistema regulador. En relación con la directiva NIS2, señalaron la necesidad de armonizar la aplicación en todos los Estados miembros, tras una primera directiva NIS que mostró disparidades significativas en su implementación. NIS2 amplía de siete a dieciocho los sectores regulados, incorporando uno adicional en el caso español: la seguridad privada.

Según los representantes institucionales, uno de los avances más significativos de la nueva directiva es la introducción de obligaciones para los órganos de dirección de las entidades afectadas. Estos deberán aprobar e impulsar medidas de ciberseguridad, participar en programas de formación y supervisar la respuesta a incidentes. Para las entidades públicas y sus proveedores, cumplir con el Esquema Nacional de Seguridad (ENS) —vigente desde 2010 y actualizado en 2022— constituye una vía directa de adecuación a NIS2.

En relación con la directiva CER, centrada en entidades críticas, los participantes destacaron el giro conceptual desde la protección pasiva hacia la capacidad de respuesta activa ante perturbaciones. El modelo español, desplegado por el CNPIC, se presenta como uno de los más avanzados, abarcando doce sectores frente a los dos mínimos exigidos por la UE. Sin embargo, la entrada en vigor del régimen sancionador implicará nuevos compromisos documentales y operativos por parte de las organizaciones designadas como críticas.

La primera mesa redonda abordó la implementación de la nueva normativa desde un enfoque institucional. 

El sector de la seguridad privada adquiere en este nuevo marco un rol estratégico, con responsabilidades en planificación sectorial, medidas técnicas, identificación de infraestructuras críticas y planes de resiliencia. Para facilitar la adaptación de las entidades designadas como críticas en virtud de la directiva CER, el CNPIC ha previsto la entrega de un "pack de bienvenida", que incluye documentación explicativa sobre los requisitos normativos, guías técnicas, modelos de planes y canales institucionales de contacto. Este paquete tiene carácter orientativo y está concebido como una herramienta de acompañamiento para garantizar una transición operativa eficaz hacia el nuevo marco regulador.

La segunda mesa redonda se centró en la aplicación práctica de las directivas en entornos reales. Los ponentes coincidieron en que la expansión del marco normativo —especialmente con NIS2 y CER— impactará directamente en miles de pymes y microempresas, que deberán adaptarse a nuevos requisitos sin contar con estructuras administrativas comparables a las de las grandes corporaciones. Muchas organizaciones aún desconocen su inclusión como "entidades importantes" dentro de NIS2, condición que se deriva de su papel como proveedores críticos.

La brecha entre teoría y ejecución fue uno de los puntos destacados. Aunque muchas empresas disponen de manuales y protocolos para incidentes, en la práctica estos documentos no resultan operativos. Se puso el acento en la necesidad de implicar a todos los departamentos, incluidos recursos humanos y asesoría legal, en los gabinetes de crisis. Asimismo, se insistió en que los procedimientos deben estar adaptados a la realidad de cada organización y no constituir meras exigencias formales.

Uno de los puntos más debatidos fue la gestión de la cadena de suministro. Se insistió en que el eslabón más débil puede comprometer toda la seguridad del sistema, razón por la que los responsables de seguridad priorizan a proveedores con certificaciones acreditadas como ISO 27001. La figura del fabricante también fue objeto de análisis: sin ser considerados críticos por norma general, desempeñan un papel relevante en la interdependencia del sistema y deberán certificar sus productos bajo esquemas como LINCE y otros aún en desarrollo.

A nivel jurídico, se subrayó la importancia de contar con asesoría especializada para navegar en el entramado de directivas, reglamentos y normas nacionales. El abogado debe interpretar, traducir y aplicar criterios en un entorno regulador en constante evolución. Se recordó que la Audiencia Nacional interpreta la seguridad como un "concepto de medios" y no como un concepto de "resultados", lo que implica que las organizaciones no tienen la obligación de garantizar resultados infalibles, sino de implementar las medidas razonables y proporcionadas para minimizar riesgos. El cumplimiento no exige la eliminación total de amenazas, sino la adopción de actuaciones preventivas ajustadas a los recursos y el nivel de exposición de cada entidad.

En este bloque los expertos también señalaron que muchos aspectos de las normas, como la definición exacta de entidad afectada o los mecanismos de notificación de incidentes, permanecen poco definidos, lo que añade incertidumbre jurídica. Las asociaciones profesionales pueden desempeñar un papel relevante en la interlocución con las autoridades para clarificar estos extremos.

Otro punto tratado fue la necesidad de una estrategia de formación continua. Los ponentes alertaron sobre la insuficiencia de los programas formativos básicos o genéricos. La sensibilización debe adaptarse al perfil del empleado, ser constante y prever mecanismos de evaluación del riesgo derivados del uso de tecnologías emergentes, como la inteligencia artificial.

Por otro lado, hicieron énfasis en que ya no existe distinción entre seguridad física y lógica. Sistemas como los controles de acceso, la videovigilancia o los sensores medioambientales dependen de tecnologías digitales conectadas. Si estas no se protegen adecuadamente, pueden convertirse en vectores de ataque. Ejemplos como el asalto al Capitolio, en el que los daños lógicos superaron ampliamente a los físicos, ilustran los riesgos de una arquitectura de seguridad no integrada.

Finalmente, los ponentes aclararon que asumir que el cumplimiento normativo es una oportunidad, no una mera carga. Permite profesionalizar procesos, diferenciar servicios y generar confianza en los clientes. No obstante, pidiron a la administración un papel más pedagógico que sancionador, especialmente con las pymes. También subrayaron la necesidad de unificar cauces de notificación y requisitos, así como de adaptar las exigencias al tamaño y madurez de las entidades.

Los asistentes a este evento recibieron el documento 'Seguridad bajo normativa', una guía práctica elaborada por Casmar y Desico cuyo objetivo es ayudar a empresas e instituciones a entender los elementos esenciales de cada reglamentación, identificar si les afecta y dar los primeros pasos para prepararse, con un enfoque claro y útil.