Cuando la ciberseguridad deja de ser técnica y pasa a ser estratégica para la banca
Han pasado casi diez años desde la primera Directiva NIS y, aunque su cumplimiento era formalmente obligatorio, su aplicación ha sido desigual entre países y sectores. En muchos casos, se tradujo en marcos poco homogéneos y en estrategias reactivas: se actuaba cuando había un incidente o cuando el regulador llamaba a la puerta. El contexto actual es radicalmente distinto. El aumento exponencial de los ciberataques, la hiperconectividad del sistema financiero y la banca, y la dependencia creciente de proveedores tecnológicos han llevado a Europa a endurecer su marco regulatorio. Hoy, la versión revisada NIS2 no deja espacio para la improvisación.
Durante años, la ciberseguridad en el sector bancario ha sido percibida como una cuestión eminentemente técnica, confinada a los departamentos de TI o a la figura del CISO. La llegada de NIS2, junto con normativas complementarias como DORA o el Cyber Resilience Act (CRA), marca definitivamente el final de esa visión.
NIS2, junto con marcos como DORA o CRA, consolida la idea de que la ciberseguridad no es una recomendación ni un valor añadido, sino una obligación regulada. Introduce requisitos claros de notificación de incidentes, plazos estrictos, métricas, evidencias y posibles sanciones con impacto económico y reputacional. En este nuevo escenario, ser reactivo no solo es ineficiente, sino también peligroso. La única estrategia viable es la proactividad. Por eso, el principal impacto práctico de ello para bancos y proveedores tecnológicos no está tanto en la introducción de nuevos controles, técnicos —muchos ya existen— como en el cambio de mentalidad que exige. La pregunta clave ya no es “¿qué tenemos que cambiar para cumplir con la regulación?”, sino “¿todo lo que ya hacemos nos permite cumplirla de forma demostrable, continua y supervisada?”. Hoy, la ciberseguridad es un riesgo empresarial de primer orden y, como tal, una responsabilidad directa de la alta dirección.
Y es que, precisamente uno de los errores más comunes al abordar NIS2 es tratarla como si fuera una norma técnica más, similar a una ISO con una lista cerrada de requisitos. No lo es. NIS2 introduce un cambio profundo en la gobernanza: la alta dirección debe implicarse activamente en la gestión del riesgo cibernético. Subestimar esta responsabilidad —o delegarla sin supervisión— puede derivar en sanciones que, paradójicamente, obliguen a destinar más recursos a pagar multas que a mejorar la seguridad real.
Además, la norma amplía el foco hacia la cadena de suministro. Proveedores tecnológicos, desarrolladores de software y fabricantes de hardware pasan a formar parte explícita del perímetro regulatorio. Para la banca, esto implica una responsabilidad añadida: exigir a sus socios el mismo nivel de madurez en ciberseguridad que se exige a sí misma.
Manos a la obra
Aunque la transposición nacional de NIS2 es reciente, las expectativas regulatorias ya están claras. El sector financiero, especialmente en Europa, parte de un nivel de madurez elevado gracias a años de regulación. Sin embargo, esa ventaja puede diluirse rápidamente si no se actualizan procesos, métricas y evidencias conforme a los nuevos marcos.
En esta fase, las entidades deberían priorizar tres aspectos clave. Primero, revisar su modelo de gobernanza para asegurar que el riesgo cibernético se gestiona al más alto nivel, con supervisión real y rendición de cuentas. Segundo, evaluar de forma crítica la madurez de su cadena de suministro, exigiendo a proveedores evidencias claras de cumplimiento. Y tercero, ir más allá del mínimo regulatorio, anticipándose a futuras exigencias.
Y deberán hacerlo con tiempo y progresivamente, porque improvisar procesos para cumplir los plazos bajo presión genera sobreesfuerzos, errores y tensiones en toda la organización y su ecosistema de proveedores. Y en un sector tan interconectado como el financiero, un fallo en un eslabón puede tener consecuencias en cascada. Porque además, la irrupción acelerada de tecnologías emergentes, como la inteligencia artificial, demuestra que no pasarán otros diez años antes de que veamos nuevas versiones o marcos complementarios. Adoptar controles sólidos desde ahora permitirá a las entidades construir un ecosistema regulatorio sostenible y, sobre todo, adaptable.
Cajeros automáticos: un ejemplo claro del desafío
Todo esto es especialmente relevante en un sector cada vez más dependiente de la siempre cambiante tecnología. Por ejemplo, la digitalización ha mejorado la eficiencia y la experiencia del cliente, pero también ha abierto la puerta a una nueva forma de “robo a un banco”: el ciberataque. Hoy no solo el dinero es objeto de robo, sino también los datos y los sistemas críticos.
En la banca, los cajeros automáticos representan de forma muy visible esta problemática. Su accesibilidad física los convierte en un punto de entrada habitual para el malware, como han demostrado ataques con familias y variantes como Ploutus, FixS, Green Dispenser o Cutlet Maker. Una gestión deficiente de estos dispositivos no solo afecta al banco, sino potencialmente a todo su ecosistema.
En un sector tan interconectado como el financiero, un fallo en un eslabón puede tener consecuencias en cascada
La aplicación de DORA obliga a las entidades a identificar, evaluar y mitigar riesgos específicos de estos entornos. La CRA, por su parte, refuerza la necesidad de que la seguridad se incorpore desde la fase de diseño del software, con pruebas periódicas, capacidad de recuperación y transparencia en la gestión de vulnerabilidades. Ambas normativas se complementan y refuerzan mutuamente.
Pero veamos el vaso medio lleno: NIS2, DORA y CRA no son solo obligaciones regulatorias, sino una oportunidad para elevar el nivel de seguridad y confianza en todo el sistema financiero europeo. Porque, en el nuevo marco, la ciberseguridad ya no es opcional: es una condición esencial para la sostenibilidad del negocio.
Néstor Santolaya, cybersecurity product expert de Auriga
Powered by WPeMatico
