«Es abrumadora la regulación europea». «Estamos sobrerregulados». «Hay demasiado solapamiento entre normas». Son comentarios habituales entre organizaciones que afrontan la adaptación a nuevas exigencias regulatorias en ciberseguridad. Más allá de la crítica, detrás de estas percepciones existen preocupaciones muy concretas: cómo repartir responsabilidades entre ciberseguridad, inteligencia artificial (IA) y otras áreas tecnológicas; cómo adaptarse sin perder eficiencia; y cómo evitar la creación de silos normativos que compliquen la operación y el mantenimiento de los controles.
La situación es especialmente relevante porque las organizaciones están recibiendo, prácticamente de forma simultánea, obligaciones derivadas de normativas como NIS2, DORA, el Cyber Resilience Act (CRA), la Directiva CER o el AI Act. Cada una introduce requisitos específicos, pero todas convergen sobre elementos comunes: gobierno corporativo, gestión de riesgos, seguridad de la cadena de suministro, gestión y notificación de incidentes y resiliencia operativa.
La cuestión estratégica ya no es únicamente cómo cumplir con cada regulación, sino cómo construir un modelo eficiente y sostenible que permita responder al conjunto del marco normativo sin multiplicar estructuras, equipos y controles.
Europa acelera la regulación
Los últimos años han situado la ciberseguridad en el centro de la agenda política y económica europea. Los ataques contra infraestructuras críticas, la creciente dependencia tecnológica y el contexto geopolítico han elevado la percepción del riesgo a nivel institucional.
La Unión Europea ha respondido impulsando un marco regulatorio ambicioso orientado a reforzar la resiliencia digital de sectores esenciales y reducir dependencias estratégicas. NIS2 amplía significativamente el alcance de las obligaciones de ciberseguridad para operadores esenciales e importantes. DORA introduce requisitos específicos para el sector financiero, con foco en resiliencia operativa y terceros tecnológicos. El CRA traslada exigencias de ciberseguridad al ciclo de vida de productos digitales y dispositivos conectados. El AI Act incorpora obligaciones de gobernanza y control sobre sistemas de IA.
El problema aparece cuando estas regulaciones se abordan como proyectos independientes. Cada norma genera su propio lenguaje, responsables, procesos y evidencias. El resultado suele ser el mismo: duplicidades, incremento de costes, dispersión de prioridades y dificultad para mantener controles de forma consistente.
En muchos casos, además, el problema no es únicamente tecnológico o regulatorio, sino organizativo. Persisten dudas sobre quién decide, quién ejecuta y quién asume la responsabilidad última en ámbitos donde convergen ciberseguridad, resiliencia e IA. Cuando no existe un modelo claro de gobierno, el cumplimiento acaba fragmentado.
La resiliencia, entre los cimientos comunes
Aunque las regulaciones europeas presentan diferencias relevantes, comparten una base estructural muy similar. La mayor parte de las obligaciones se concentra en cinco grandes ámbitos: gobierno y supervisión, gestión de riesgos, seguridad de terceros y cadena de suministro, gestión y notificación de incidentes y resiliencia y continuidad operativa.
Este punto es clave porque permite cambiar el enfoque. En lugar de construir programas separados para cada regulación, las organizaciones pueden desarrollar capacidades comunes reutilizables.
La cadena de suministro es probablemente el mejor ejemplo. DORA, NIS2, CRA y AI Act incorporan requisitos relacionados con terceros críticos, proveedores tecnológicos, evaluación de riesgos o monitorización continua. Gestionar estos requisitos mediante iniciativas independientes genera complejidad innecesaria.
Por el contrario, un único modelo corporativo de gestión de terceros –basado en clasificación por criticidad, requisitos contractuales homogéneos, evaluación continua y planes de respuesta– permite responder simultáneamente a múltiples exigencias regulatorias y, al mismo tiempo, reforzar la resiliencia real de la organización.
Lo mismo ocurre con la gestión de incidentes, la evaluación de riesgos o la continuidad operativa. Las diferencias regulatorias suelen estar más relacionadas con el grado de exigencia o el ámbito de aplicación que con los fundamentos técnicos y organizativos.
Enfoque basado en riesgo
Uno de los principales riesgos del actual contexto regulatorio es convertir la ciberseguridad en un ejercicio puramente documental. Cuando el objetivo empieza a ser «pasar auditorías», las organizaciones tienden a generar capas adicionales de procesos y evidencias desconectadas de la operación real.
Sin embargo, la finalidad última de la regulación no debería ser incrementar burocracia, sino mejorar la capacidad de resistir, responder y recuperarse frente a incidentes que afectan a servicios esenciales y procesos críticos.
El impacto ya no se limita al área de ciberseguridad. Las nuevas regulaciones están elevando la implicación de los comités de dirección y obligando a las organizaciones a revisar procesos de compra, relación con proveedores, gestión contractual, continuidad operativa y mecanismos de supervisión interna. La ciberseguridad deja de ser un ámbito exclusivamente técnico para convertirse en una responsabilidad transversal con impacto directo en negocio, reputación y capacidad operativa.
Por eso, una aproximación eficaz consiste en integrar el cumplimiento dentro del marco global de gestión de riesgos de la organización. Esto implica evaluar impacto y criticidad, priorizar inversiones, asignar responsabilidades claras y diseñar controles reutilizables.
Este enfoque aporta varias ventajas: reduce duplicidades, mejora la eficiencia operativa y facilita la toma de decisiones al permitir priorizar iniciativas con impacto transversal. Además, ayuda a trasladar la conversación al nivel adecuado, el negocio.
La resiliencia no es únicamente una cuestión técnica. Es una capacidad estratégica vinculada a continuidad operativa, confianza, reputación y sostenibilidad.
Conclusión
La avalancha regulatoria europea no es únicamente un desafío de cumplimiento, sino un reto de gobierno, priorización y ejecución.
Las organizaciones que afronten cada normativa como un proyecto aislado tenderán a generar silos, duplicidades y sobrecostes. En cambio, aquellas que construyan un modelo basado en capacidades comunes (gobierno, riesgos, terceros, incidentes y resiliencia) podrán transformar el cumplimiento en un mecanismo de estandarización y eficiencia operativa.
El debate ya no debería centrarse en si existe demasiada regulación, sino en cómo utilizarla para reforzar la resiliencia real de las organizaciones.
Porque, en última instancia, el objetivo no es únicamente cumplir una norma. Es garantizar la continuidad y la confianza de los servicios esenciales sobre los que se sostiene la economía digital.
