Convertir la regulación en confianza, contratación y resiliencia
El pasado 27 de mayo, junto con ESED – Cyber Security & IT Solutions celebramos una nueva edición del Business Corner de TecnoCampus, una jornada especializada en la que se abordó uno de los grandes desafíos actuales para las organizaciones: cómo afrontar el creciente entorno regulatorio en materia de ciberseguridad y convertirlo en una oportunidad de negocio.
Bajo el título «Ciberseguridad y Cumplimiento Normativo: convertir regulación en confianza, contratación y resiliencia», la sesión reunió a profesionales y empresas interesadas en comprender el impacto de normativas como ENS, ISO/IEC 27001, ISO/IEC 27701, NIS2, CRA o CSA2, así como las implicaciones estratégicas que tendrán en los próximos años.
Un contexto donde la ciberseguridad ya es una cuestión empresarial
La jornada comenzó poniendo sobre la mesa una realidad incontestable: la ciberseguridad ha dejado de ser exclusivamente un asunto tecnológico para convertirse en una cuestión de negocio, reputación y supervivencia empresarial.
Los datos compartidos durante la sesión reflejan esta tendencia. En 2025 se gestionaron más de 122.000 incidentes de ciberseguridad en España, un 26% más que el año anterior, mientras que el coste medio de recuperación para empresas de entre 100 y 250 empleados alcanzó los 587.000 euros.
En este escenario, la capacidad de demostrar una gestión adecuada de la seguridad de la información ya no solo reduce riesgos, sino que influye directamente en la contratación, la confianza de clientes e inversores y la competitividad de las organizaciones.
Un marco regulatorio cada vez más exigente
Uno de los principales objetivos de la jornada fue ayudar a las empresas a hacer entender el complejo ecosistema normativo que actualmente afecta a la gestión de la seguridad de la información y la ciberseguridad.
Los ponentes explicaron cómo las organizaciones deben adaptarse a un entorno formado por regulaciones europeas como NIS2, DORA, CRA, AI Act, eIDAS2 o Data Act, junto con marcos nacionales como el Esquema Nacional de Seguridad (ENS), la legislación de protección de datos o la normativa sobre infraestructuras críticas.
Lejos de plantear estas exigencias como obligaciones aisladas, se destacó la importancia de construir un Sistema de Gestión de Seguridad de la Información (SGSI) capaz de dar respuesta simultánea a todos estos requisitos, evitando duplicidades y optimizando recursos.
ENS, ISO 27001 y NIS2: una estrategia integrada
Uno de los mensajes más relevantes del encuentro fue que las empresas no
deben abordar ENS, ISO/IEC 27001 y NIS2 como proyectos independientes.
La jornada mostró cómo un SGSI bien diseñado permite ahorrar entre un 70% y un 80% del esfuerzo necesario para cumplir con estos tres marcos, generando sinergias tanto en la identificación de de riesgos, su gestión, la implantación de controles, la gestión de incidentes y la mejora continua.
Se analizó especialmente el papel del Esquema Nacional de Seguridad como requisito indispensable para muchas organizaciones que trabajan para la Administración Pública, así como el valor de ISO/IEC 27001 como estándar internacional capaz de generar confianza ante clientes, proveedores y cadenas de suministro.
Asimismo, se profundizó en la Directiva NIS2, que amplía las obligaciones de ciberseguridad a numerosos sectores estratégicos y refuerza la responsabilidad directa de la alta dirección en la gestión de los riesgos digitales.
El desafío emergente: la gobernanza de la Inteligencia Artificial
Otro de los temas que despertó mayor interés fue el fenómeno del Shadow AI, y el uso de herramientas de inteligencia artificial generativa por parte de empleados sin supervisión ni controles corporativos.
Durante la sesión se analizó cómo el uso descontrolado de estas tecnologías puede generar importantes riesgos de seguridad, privacidad y cumplimiento normativo, especialmente en un contexto marcado por la entrada en vigor del Reglamento Europeo de Inteligencia Artificial (AI Act).
La conclusión fue clara: las organizaciones necesitan incorporar políticas de gobernanza de la IA dentro de sus sistemas de gestión para garantizar un uso seguro, controlado y alineado con las exigencias regulatorias futuras.
Un modelo basado en la imparcialidad e independencia
La jornada también permitió explicar el trabajo de ICDQ y el de ESED, basado en la separación clara de funciones para garantizar la independencia y la confianza del proceso acreditado o regulado fundamental para la garantía ante la sociedad y el ciudadano.
ESED acompaña a las organizaciones en las fases de diagnóstico, análisis de riesgos, diseño e implantación de los sistemas de gestión, auditorías internas.
ICDQ actúa como entidad de evaluación de la conformidad , en concreto como certificadora independiente acreditada para evaluar y certificar el cumplimiento de los requisitos aplicables.
Prepararse hoy para los requisitos de mañana
La principal conclusión del Business Corner fue que la regulación no debe entenderse únicamente como una obligación legal, sino como una herramienta para fortalecer la organización, protegerse internamente y establecer mecanismo de mejora y de continuidad del negocio ante incidentes o accidentes de seguridad.
Las empresas que comiencen ahora a trabajar sobre bases sólidas como ENS e ISO/IEC 27001 estarán mejor preparadas para afrontar los retos que plantean NIS2, CRA, CSA2 y el resto de regulaciones europeas que marcarán el futuro de la ciberseguridad.
En definitiva, la jornada puso de manifiesto que el cumplimiento normativo, cuando se aborda de forma estratégica, puede ser un factor diferencial capaz de generar confianza, abrir nuevas oportunidades de contratación y reforzar la resiliencia empresarial frente a un entorno cada vez más exigente.
