En un entorno donde la información es uno de los principales activos de una organización, la seguridad y el cumplimiento normativo TI son ya elementos estratégicos. No se trata solo de cumplir con la ley, sino de proteger la confianza del cliente y asegurar la continuidad de los servicios.

Hoy, cualquier empresa tecnológica debe operar bajo marcos de ciberseguridad cada vez más exigentes, que buscan garantizar que los sistemas, datos y procesos estén protegidos frente a incidentes o ciberataques. Normas como NIS2 o DORA son ya referentes europeos que marcan el futuro del sector.

Nuevas normas europeas que transforman la ciberseguridad empresarial

La digitalización masiva y el aumento de las amenazas han impulsado a Europa a reforzar su marco normativo. Entre las normas más relevantes destacan:

• Directiva (UE) 2022/2555 (NIS2): eleva el nivel común de ciberseguridad en todos los Estados miembros. Implica a los sectores de Energía, Transporte, Banca, Salud, TI, Espacio y Administración Pública.
• Reglamento (UE) 2022/2554 (DORA): establece la resiliencia operativa digital en el sector financiero.
• Directiva (UE) 2022/2557: refuerza la protección de infraestructuras críticas.
• Reglamento de Ejecución (UE) 2024/2690: define los requisitos técnicos de la gestión de riesgos de ciberseguridad.
• Reglamento (UE) 2024/2847: establece criterios de ciberseguridad para productos con elementos digitales.

Estas nuevas exigencias se suman a marcos ya consolidados como el Esquema Nacional de Seguridad (ENS) o la normativa de protección de datos (RGPD y LOPDGDD), pilares del modelo de cumplimiento en ASAC.

NIS2 y ENS: hacia un modelo más maduro de ciberresiliencia

Aunque la Directiva NIS2 aún está pendiente de transposición en España, su aplicación es inminente. La Agencia Europea de Ciberseguridad (ENISA) ya ha publicado guías para ayudar a las organizaciones a adaptarse a sus requisitos.

Entre las principales recomendaciones figuran la creación de políticas de seguridad y gestión aprobadas por la dirección, incluyendo:

• Política de gestión de riesgos y de incidentes.
• Política de seguridad de la cadena de suministro.
• Políticas de pruebas de seguridad y control de accesos.
• Políticas para la gestión de activos, cuentas privilegiadas y medios extraíbles.

En ASAC, estas prácticas se alinean con las medidas establecidas en el ENS, que ya aplicamos en nuestros servicios Cloud gestionados y soluciones tecnológicas.

Estándares internacionales que refuerzan la confianza

El cumplimiento no se demuestra solo con legislación, sino con certificaciones y estándares internacionales que garantizan las buenas prácticas. En ASAC integramos los principales marcos de referencia en gestión y seguridad de la información:

• ISO/IEC 27001:2022 y 27002:2022, referentes en seguridad de la información.
• ISO/IEC 27017 y 27018, centradas en seguridad y privacidad en entornos Cloud.
• UNE-EN ISO/IEC 27701:2021, para la gestión de la privacidad.
• UNE-EN ISO 22301:2020, sobre continuidad de negocio.
• ISO/IEC 20000-1, sobre calidad y eficiencia en la gestión de servicios TI.
• Además, seguimos el Código de Buen Gobierno de Ciberseguridad de la CNMV, fomentando transparencia y responsabilidad corporativa.

Cumplimiento, seguridad y confianza como estrategia de valor

En ASAC entendemos que la seguridad y el cumplimiento normativo no son un proyecto puntual, sino un compromiso permanente. Por eso, invertimos de forma continua en tecnología, procesos y formación, anticipándonos a los desafíos del entorno digital.

Nuestro enfoque combina tres pilares:

1. Evaluación constante de riesgos tecnológicos y organizativos.
2. Implementación de medidas de protección avanzadas, tanto lógicas como físicas y criptográficas.
3. Cultura de seguridad, basada en sensibilización y formación continua.

El resultado: servicios Cloud y de TI seguros, resilientes y conformes con los más altos estándares nacionales e internacionales.

Arantzazu Pecharromán

Compliance IT