Seis meses de NIS2: el sector privado español aún no pasa el examen de ciberseguridad

Medio año después de la entrada en vigor de la Directiva NIS2, la radiografía del cumplimiento en España arroja datos preocupantes. A pesar de que la nueva normativa de ciberseguridad marca un antes y un después en la estrategia digital europea, una parte importante del tejido empresarial sigue sin adoptar las medidas mínimas que exige la legislación. El contraste entre la autopercepción de las organizaciones y su preparación real empieza a generar alarma entre expertos y autoridades.

Según el Observatorio de Competitividad Empresarial de la Cámara de Comercio de España, apenas un tercio de las empresas ofrece formación regular en ciberseguridad a sus empleados, y más de una cuarta parte carece por completo de personal responsable en esta materia. Sin embargo, el 73 % cree estar suficientemente protegida, lo que evidencia un desfase entre confianza y realidad que podría traducirse en sanciones y vulnerabilidades críticas.

Una directiva ambiciosa, una implementación a medio gas

La NIS2, en vigor desde octubre de 2024, endurece las exigencias respecto a su predecesora y obliga a miles de empresas consideradas “esenciales” o “importantes” a desplegar políticas formales de análisis de riesgos, planes de continuidad, gestión de incidentes y, muy especialmente, formación continua tanto a nivel operativo como directivo.

“El problema no es solo tecnológico: NIS2 requiere una transformación estructural de la empresa, desde arriba hacia abajo. Y eso implica implicación de la dirección, inversión en talento y cultura de seguridad”, señala José Antonio Morcillo, Head of Channel Iberia de Kaspersky. “Los datos lo dicen todo: gran parte del tejido empresarial español sigue sin estar preparado”.

Las cifras del Ministerio del Interior lo corroboran: el grado medio de cumplimiento entre entidades importantes apenas alcanza el 27 %, y solo las previamente reguladas por NIS1 superan el 90 % de implementación. Las nuevas incorporaciones a la categoría de entidades esenciales, muchas del sector salud, TIC o infraestructuras digitales, aún no han dado el salto.

La brecha de talento, un cuello de botella evidente

Más allá de las exigencias normativas, la falta de profesionales cualificados en ciberseguridad se consolida como uno de los mayores obstáculos. El informe de ENISA sobre el mercado laboral en ciberseguridad advierte que la mayoría de países de la UE, incluida España, tienen dificultades para cubrir roles clave en análisis forense, gestión de operaciones o arquitectura de seguridad.

En este contexto, soluciones como Kaspersky xTraining, que ofrece formación avanzada a especialistas técnicos, o el programa Security Awareness, centrado en capacitar a toda la plantilla, cobran un protagonismo renovado. “Formar a los empleados no es un lujo, es una obligación legal. Y formar al CISO ya no es suficiente: los directivos deben estar también preparados para gestionar el riesgo”, insiste Morcillo.

Soluciones y estrategias para el cumplimiento

Además de los programas formativos, Kaspersky está reforzando su catálogo de soluciones tecnológicas para ayudar a las empresas a alinearse con los requerimientos de NIS2. Entre ellas destacan:

• Kaspersky Next, una solución EDR/XDR escalable para proteger infraestructuras críticas.
• Kaspersky MDR, un servicio de detección y respuesta gestionada 24/7.
• KICS, diseñado específicamente para entornos industriales y sistemas operativos críticos.

Estas herramientas permiten a las organizaciones avanzar sin necesidad de ampliar plantilla o acometer inversiones desproporcionadas, apostando por una mejora continua y sostenible.

Un incumplimiento con consecuencias

Las empresas que no se adapten a tiempo se enfrentan a un régimen sancionador más estricto, que contempla multas proporcionales a la gravedad del incumplimiento. La vigilancia se intensificará especialmente en los sectores estratégicos, y se prevé una mayor coordinación entre organismos nacionales e instituciones europeas.

Desde Kaspersky lanzan un mensaje claro: “NIS2 exige pasar de las buenas intenciones a una acción estructurada y medible. No solo ofrecemos tecnología, sino acompañamiento, auditoría y formación práctica para que cada organización pueda cumplir con garantías”.