La llegada de la Directiva NIS2 cambia la forma en que Europa entiende la ciberseguridad. Ya no basta con políticas, auditorías o cumplimiento documental, porque la cuestión pasa a ser mucho más directa: si una organización tiene control real sobre sus sistemas, sus accesos y su capacidad de respuesta.
Esto afecta especialmente a administraciones públicas y sectores esenciales, donde la digitalización ha incorporado acceso remoto, proveedores externos y entornos cada vez más conectados, a menudo más rápido que los modelos de control y supervisión.
Ahí está una de las claves de NIS2: no introduce solo nuevas obligaciones, también obliga a demostrar visibilidad real sobre quién accede a los sistemas críticos, qué actividad realiza y qué exposición generan los accesos que se han ido.
NIS2 y la mesa de dirección
Uno de los cambios más relevantes de NIS2 es que la ciberseguridad deja de quedarse en los departamentos técnicos. La interrupción de servicios y el impacto sobre la operación pasan a primer plano, y eso obliga a elevar la conversación.
En el sector público esto resulta especialmente visible, porque muchas organizaciones trabajan con sistemas heredados, infraestructuras complejas y múltiples proveedores externos sobre entornos donde cualquier cambio puede afectar directamente al servicio prestado al ciudadano.
Por eso NIS2 tiene un componente mucho más organizativo de lo que parece. La directiva obliga a que la dirección participe activamente en la supervisión del riesgo.
El acceso, nuevo punto crítico
Durante mucho tiempo, gran parte de la seguridad se diseñó pensando en proteger el perímetro. El problema es que ese perímetro prácticamente ha desaparecido.
Hoy los entornos críticos funcionan con accesos remotos constantes, proveedores conectados desde el exterior, aplicaciones cloud e integraciones industriales cada vez más complejas. Eso hace que el acceso a los sistemas se haya convertido en uno de los principales puntos de control dentro de cualquier organización.
El reto ya no es solo evitar que alguien entre desde fuera, sino entender quién tiene acceso, por qué lo tiene y qué ocurre una vez dentro.
Y ahí aparecen muchas de las debilidades actuales. En numerosos entornos críticos siguen existiendo cuentas compartidas, accesos permanentes que nadie revisa o privilegios que sobreviven durante años simplemente porque eliminarlos podría afectar a la operación. Eso explica por qué muchas organizaciones tienen hoy más herramientas de seguridad que nunca y, al mismo tiempo, siguen teniendo dificultades para responder preguntas básicas sobre quién accedió a un sistema crítico o qué hizo dentro de él.
Sector público y visibilidad
Una de las diferencias más claras entre el sector público y otros entornos corporativos es el grado de complejidad acumulada.
Muchas administraciones y operadores esenciales llevan años construyendo capas tecnológicas sobre infraestructuras muy heterogéneas. Conviven sistemas modernos con plataformas legacy, aplicaciones corporativas con entornos industriales y modelos de acceso recientes con otros heredados que nunca llegaron a revisarse completamente.
Eso genera un problema que rara vez aparece en el discurso más teórico sobre NIS2, la falta de visibilidad operativa.
En muchas organizaciones sí existen registros de acceso o controles básicos de autenticación. El problema aparece cuando hay que reconstruir actividad real sobre sistemas sensibles o entender con precisión qué ocurrió antes y después de un incidente.
En entornos IT tradicionales esto ya supone una dificultad importante, pero en infraestructuras OT el reto es todavía mayor. Muchos sistemas industriales fueron diseñados priorizando disponibilidad y continuidad de operación. La ciberseguridad no formaba parte de las prioridades iniciales y, por eso, todavía existen estaciones SCADA con credenciales compartidas, accesos de mantenimiento poco supervisados o arquitecturas donde la segmentación y la trazabilidad resultan limitadas.
Además, muchas organizaciones públicas trabajan bajo restricciones presupuestarias y operativas que dificultan reemplazar infraestructuras completas a corto plazo. Eso obliga a adoptar enfoques mucho más pragmáticos.
NIS2 obliga a muchas organizaciones a preguntarse si realmente tienen algún tipo de control sobre su operación digital
Proveedores y zonas grises
Otro de los grandes retos que pone sobre la mesa NIS2 es la gestión de terceros. Hoy prácticamente cualquier infraestructura crítica depende de empresas externas para operar. Fabricantes industriales, mantenimiento remoto, integradores, soporte tecnológico o servicios especializados necesitan acceder continuamente a sistemas sensibles para realizar tareas operativas.
El problema es que muchos de esos accesos siguen gestionándose con modelos heredados, pensados más para facilitar la conectividad que para mantener control real sobre ella.
VPN permanentes, cuentas genéricas utilizadas por varios técnicos o accesos que permanecen activos fuera de las ventanas de mantenimiento son situaciones mucho más habituales de lo que suele reconocerse públicamente. Y eso genera uno de los principales puntos ciegos dentro de muchas organizaciones.
Porque cuando un tercero accede a una infraestructura crítica, la responsabilidad sigue recayendo sobre la organización propietaria de ese entorno. Y ahí es donde NIS2 introduce un cambio importante. El acceso de terceros deja de verse únicamente como una necesidad operativa y pasa a considerarse también una cuestión de gobierno y supervisión.
La prioridad ya no es solo permitir acceso rápido cuando hace falta. La prioridad pasa a ser mantener visibilidad constante sobre quién accede, a qué sistemas, durante cuánto tiempo y bajo qué supervisión interna.
Cumplir y tener control
En el fondo, NIS2 obliga a muchas organizaciones a hacerse una pregunta bastante simple: si realmente tienen control sobre su operación digital.
Y eso va mucho más allá de disponer de políticas escritas o pasar auditorías.
Hoy la resiliencia depende cada vez más de la capacidad de supervisar actividad real sobre sistemas críticos, detectar comportamientos anómalos, controlar privilegios o reconstruir incidentes cuando algo ocurre.
La trazabilidad deja de ser un requisito adicional para convertirse en una condición básica de operación porque, al final, una organización no puede proteger aquello que no es capaz de ver ni supervisar realmente.
Las compañías que aprovechen este momento para mejorar visibilidad, control y gobierno operativo estarán mucho mejor preparadas para gestionar un entorno donde el riesgo ya forma parte del funcionamiento diario.
