43 años, 60 normas y un atacante dentro
Una gran empresa energética española, presente en toda la cadena de valor, desde la refinería hasta el cliente final, pasando por almacenamiento y distribución, lleva más de cuatro décadas construyendo su marco de seguridad.
43 años después, el resultado es contundente: decenas de normas, múltiples sistemas de control y una estructura de cumplimiento compleja y, sin embargo, el escenario crítico sigue siendo el mismo: un atacante consigue entrar.
No es un supuesto teórico. Es lo que ocurrió en Colonial Pipeline en 2021, en Oiltanking en 2022 o en TRITON en 2017, donde el objetivo no era solo interrumpir la operación, sino comprometer los sistemas diseñados para evitar un accidente industrial.
Un único incidente. Un atacante dentro. Y una organización obligada a responder en múltiples frentes al mismo tiempo.
Una crisis, múltiples autoridades
En paralelo a la contención técnica, la compañía puede verse obligada a notificar de forma simultánea a múltiples organismos: CNPREC (Centro Nacional de Protección de Entidades Críticas), CSIRT de referencia, AEPD, autoridad Seveso, protección civil, prevención de riesgos laborales, REMIT (Regulation on Wholesale Energy Market Integrity and Transparency), CNMV, ENISA y Fuerzas y Cuerpos de Seguridad del Estado.
Cada uno con su canal, su plazo y su expectativa de información.
La pregunta no es si la empresa cumple sino si puede gestionar esa complejidad en tiempo real y bajo presión.
Cuatro décadas añadiendo capas
El modelo actual no surge de un diseño único. Es el resultado de una acumulación progresiva en las últimas cuatro décadas:
- Años 80: foco en seguridad industrial, protección frente a accidentes, con Seveso como punto de partida.
- Años 90: incorporación de seguridad privada, protección de datos y prevención de riesgos laborales.
- Años 2000: cambio de paradigma tras el 11-S y el 11-M, aparición de la protección de infraestructuras críticas.
- Años 2010: consolidación normativa con Ley 8/2011, ENS (Esquema Nacional de Seguridad)y el punto de inflexión que suponen NIS (Network and Information Security) y RGPD (Reglamento General de Protección de Datos), que introducen obligaciones claras y sanciones relevantes.
- Años 2020: aceleración regulatoria sin precedentes, con CER (Critical Entities Resilience), NIS2 (Network and Information Security 2), DORA (Digital Operational Resilience Act), AI Act (reglamento de inteligencia artificial), CRA (Cyber Resilience Act) y normativa sectorial específica.
El resultado es claro: unas 60 piezas normativas aplicables, de las cuales 28 siguen estando actualmente en vigor. Y el número sigue creciendo.
Lo que realmente aporta CER
El anteproyecto de transposición de la Directiva CER introduce novedades, pero menos de las que podría parecer.
De los ámbitos que cubre, la mayoría ya estaban regulados previamente: seguridad física, gestión de riesgos o continuidad de negocio.
Las principales novedades se concentran en tres elementos:
- Uso de biometría en control de accesos, con una tensión directa con protección de datos
- Obligación de sistemas antidrones, con dudas sobre su proporcionalidad
- INCOA centralizado para verificación de antecedentes personales
Y un elemento adicional aún por definir: un esquema nacional de certificación en resiliencia pendiente de desarrollo.
La exclusión clave
Hay un punto que define el alcance real de la norma. El propio texto excluye expresamente la ciberseguridad, al quedar cubierta por la transposición de NIS2, lo que plantea una paradoja relevante.
La norma que pretende abordar la resiliencia de las entidades críticas deja fuera precisamente el vector de amenaza más probable y más impactante en 2025.
En términos prácticos, se protege la infraestructura, pero no el principal punto de entrada.
Hasta 36 roles para un mismo problema
El cumplimiento de las 28 normas vigentes exige una estructura organizativa compleja.
Al menos 36 roles participan de forma directa. 17 figuras obligatorias por normativa, como el responsable de seguridad, delegado de protección de datos, responsable del ENS o el oficial de cumplimiento. 19 roles operativos necesarios, como respuesta a incidentes, continuidad de negocio, gestión de crisis, seguridad OT o inteligencia de amenazas.
La cuestión no es el número, sino la coordinación necesaria entre todos ellos.
¿Existe un modelo integrado donde todos estos roles trabajen sobre una misma visión de riesgo? ¿O cada uno opera en su ámbito, con sus planes, sus métricas y sus reportes independientes?
En la práctica, incluso en organizaciones maduras, la integración sigue siendo limitada.
La conversación pendiente
Cinco ideas resumen la situación actual:
- CER no es el final, es una pieza más en un sistema que sigue evolucionando.
- Cada norma responde a una amenaza real, pero el conjunto no responde a la amenaza actual, que es híbrida.
- La resiliencia sin ciberseguridad es incompleta.
- La fragmentación tiene un coste directo en eficiencia y en capacidad de respuesta.
- No existe todavía un marco integrado que permita gestionar todo esto de forma coherente.
De cumplir a resistir
España ha construido un sistema regulatorio sólido, capaz de definir obligaciones, roles y canales de notificación con gran precisión ,pero hay una diferencia clave entre cumplir y resistir.
- Cumplir garantiza alineamiento normativo.
- Resistir exige integración, coordinación y capacidad real de respuesta ante un ataque.
- La regulación, por sí sola, no va a resolver esta brecha.
- La oportunidad está en las organizaciones. En pasar de gestionar normas a gestionar riesgos de forma transversal y construir resiliencia real, no solo cumplimiento.
Después de 43 años y 60 normas, la pregunta ya no es qué falta por regular. La pregunta es si estamos preparados para el momento en que el atacante ya está dentro.