El 2 de agosto de 2026 el grueso del Reglamento Europeo de IA pasa a ser aplicable. NIS2 lleva meses abriéndose paso en el ordenamiento español. DORA ya es obligatorio para cualquiera que toque el sector financiero. Son tres normas distintas con un mismo mensaje para tu consejo: la ciberseguridad y el gobierno de la IA han dejado de ser un asunto técnico que se delega en un rincón del organigrama y se olvida.

El problema es que la mayoría de las medianas empresas españolas reciben ese mensaje sin la estructura para procesarlo. Saben que algo viene, oyen las siglas en cada feria y cada webinar, pero no tienen un CIO con peso en el comité que traduzca la obligación regulatoria en una decisión económica. Y ahí es donde la norma deja de ser un problema jurídico para convertirse en un problema de gobierno.

La regulación dejó de ser una advertencia lejana

Durante años, el discurso de cumplimiento en el mid-market fue una promesa vaga sobre un futuro que nunca llegaba. Ese margen se acabó. La convergencia que los analistas del sector señalan para 2026, con la ciberseguridad automatizada y la modernización arquitectónica avanzando en paralelo a la regulación, no es una tendencia de fondo: es el calendario que ya tienes encima de la mesa.

Lo que cambia el juego es quién responde por ellas. NIS2 hace al órgano de dirección responsable de aprobar y supervisar las medidas de gestión de riesgos de ciberseguridad, y prevé responsabilidad personal cuando esa supervisión no existe. El AI Act obliga a quien despliega sistemas de IA a demostrar controles, trazabilidad y supervisión humana. Ninguna de las dos permite ya la coartada de «eso lo lleva el informático».

Para un CEO o un CFO sin departamento de IT robusto, la pregunta operativa es sencilla y desagradable: si mañana entra un inspector, o un cliente grande te pide evidencias de cumplimiento antes de renovar el contrato, ¿tienes algo que enseñar más allá de un antivirus y buena voluntad?

Qué te obliga NIS2 de verdad (y por qué te afecta aunque no seas «esencial»)

NIS2 es la Directiva (UE) 2022/2555, la norma europea que sustituye a la primera NIS y amplía de forma drástica el perímetro de quién queda cubierto. Deja atrás la lógica de proteger solo a un puñado de infraestructuras críticas y abarca ahora a medianas y grandes empresas de un largo listado de sectores considerados esenciales o importantes, desde energía, transporte y sanidad hasta fabricación, alimentación, gestión de residuos o proveedores de servicios digitales.

El primer error del mid-market es leer ese listado, no verse dentro y archivar el asunto. Es un error caro por dos motivos. El primero es el efecto cadena de suministro: NIS2 obliga a las entidades cubiertas a exigir seguridad a sus proveedores, así que si vendes a una empresa en el alcance, la obligación baja hasta ti por vía contractual aunque la ley no te nombre. El segundo es que el umbral es más bajo de lo que la gente cree, porque basta con superar los cincuenta empleados o los diez millones de facturación dentro de un sector cubierto para entrar de lleno.

¿Y qué exige exactamente cuando aplica? Tres bloques que conviene tener claros en el consejo:

Gestión de riesgos con aprobación de la dirección. Análisis de riesgos, seguridad en la cadena de suministro, cifrado, control de accesos, continuidad de negocio y gestión de vulnerabilidades. El órgano de dirección debe aprobar esas medidas y formarse para poder supervisarlas.

Notificación de incidentes en plazos cortos. Una alerta temprana en 24 horas y una notificación más completa en 72 horas ante el equipo de respuesta nacional. Quien no tiene ensayado el proceso descubre esos plazos en el peor momento posible.

Sanciones que dejan de ser simbólicas. Para las entidades esenciales, hasta 10 millones de euros o el 2% de la facturación mundial anual, la cifra que resulte mayor. Para las importantes, hasta 7 millones o el 1,4%. La responsabilidad de la dirección convierte el cumplimiento en un asunto que el CFO no puede seguir tratando como una partida técnica menor.

A esto se suma DORA para quien opera en el ecosistema financiero, con su exigencia de resiliencia operativa y control de proveedores tecnológicos, y el AI Act para quien despliega inteligencia artificial. Distintas puertas, el mismo pasillo: la exigencia de demostrar una gestión real del riesgo, más allá de declararlo.

Zero Trust en cristiano: dejar de confiar por defecto

Aquí es donde el consejo suele desconectar, porque llega la jerga. Vamos a quitarla. Zero Trust es un principio de arquitectura que se resume en «no confíes por defecto, verifica siempre». El modelo tradicional asumía que todo lo que estaba dentro de la red corporativa era de fiar y ponía el foco en blindar el perímetro. Con el trabajo híbrido, la nube y las cuentas comprometidas por phishing, ese perímetro dejó de existir.

El enfoque Zero Trust parte de una asunción incómoda pero realista: el atacante puede estar ya dentro. En consecuencia, cada acceso se verifica de forma continua, cada usuario y cada dispositivo recibe solo los permisos mínimos que necesita, y la red se segmenta para que un incidente en un rincón no se propague a toda la empresa.

Para un directivo, lo relevante es que Zero Trust es una postura que orienta la inversión, más que un producto cerrado que se compra en una caja. Se materializa en decisiones concretas: identidad robusta con doble factor de autenticación como primera prioridad, segmentación de la red, y verificación continua en lugar de una contraseña que abre todas las puertas. Empezar por la identidad suele ser la inversión con mejor relación entre coste y reducción de riesgo, porque la mayoría de las brechas entran por una credencial robada.

AI TRiSM: gobernar la IA sin frenarla

Mientras el consejo digiere la ciberseguridad, sus equipos ya están usando IA. Copilots, asistentes de redacción, herramientas de análisis. El gobierno de esa adopción tiene nombre propio en el vocabulario de los analistas: AI TRiSM, siglas de gestión de la confianza, el riesgo y la seguridad de la IA. Es el conjunto de políticas, controles y procesos que permiten usar la inteligencia artificial con garantías sin perder el control sobre lo que hace.

El marco cubre lo que la euforia de los pilotos suele ignorar: la explicabilidad de los modelos, la monitorización de su comportamiento en el tiempo, la protección de los datos que entran y salen, y la seguridad frente a ataques específicos de la IA como la inyección de instrucciones o la fuga de información sensible a través de un prompt. Es, en la práctica, la capa de gobierno que hace tratable el AI Act, porque traduce sus exigencias en controles operativos.

¿Sabe tu consejo qué datos corporativos están entrando ahora mismo en las herramientas de IA que usan tus equipos? En muchas medianas empresas la respuesta honesta es que no, y esa opacidad es exactamente el riesgo que el AI Act viene a cerrar. La adopción de IA multiplica la superficie de exposición, y sus riesgos reales rara vez viven en el modelo: viven en los datos, los proveedores y la operación, como ya explicamos en las dependencias invisibles de la IA.

El cumplimiento sobre el papel no protege a nadie

Aquí está el núcleo de nuestra posición, y conviene decirlo sin rodeos. El mayor peligro para una PYME no es incumplir la norma por desconocimiento, sino cumplirla de mentira. Hay un mercado entero de plantillas, certificados de escaparate y políticas en PDF que dejan el expediente impecable y la empresa igual de expuesta que el primer día.

Un documento de política de seguridad no detiene un correo de phishing. Un registro de riesgos bien maquetado no impide que un empleado sin formar pinche en el enlace equivocado un martes por la tarde. El cumplimiento real se juega en dos capas que tienen que avanzar juntas: la técnica, con controles que funcionan y se prueban, y la humana, con formación, cultura de seguridad y respuesta a incidentes ensayada. Descuidar la segunda es la razón por la que empresas con la documentación perfecta acaban en los titulares.

"Cumplir la norma sobre el papel y estar protegido de verdad son dos cosas distintas. La primera te salva de la multa; solo la segunda te salva del incidente."

Por eso insistimos en que la ciberseguridad no es opcional y no admite el atajo del expediente. Un marco estratégico adecuado, que conecte la obligación regulatoria con medidas que de verdad reducen el riesgo, es la mejor garantía tanto ante el inspector como ante el atacante. Y es, además, la única versión del cumplimiento que un CFO puede defender como inversión y no como coste hundido.

Cómo prioriza el consejo: seis decisiones de inversión

La buena noticia es que un consejo no necesita entender la criptografía para gobernar bien esto. Necesita hacer las preguntas correctas y ordenar el gasto con criterio de riesgo y retorno. Estas son las seis decisiones que marcan la diferencia entre invertir bien y comprar humo.

1. Trata la ciberseguridad como una decisión de consejo, no de IT. NIS2 ya lo impone al hacer responsable a la dirección, así que lo inteligente es adelantarse. Que la seguridad tenga un punto fijo en la agenda del comité, con un responsable identificado y un presupuesto que no dependa de las sobras del ejercicio.

2. Empieza por el mapa de exposición, no por el catálogo de productos. Antes de comprar nada, hay que saber qué datos, procesos y proveedores concentran el riesgo real del negocio. Invertir sin ese mapa es repartir presupuesto a ciegas y confundir actividad con protección.

3. Aplica Zero Trust por capas, empezando por la identidad. El doble factor de autenticación y la gestión de accesos son la inversión con mejor retorno inmediato, porque cierran la puerta por la que entra la mayoría de los ataques. La segmentación y la verificación continua vienen después, por fases digeribles.

4. Pon gobierno a la IA antes de escalar los pilotos. Un marco de tipo AI TRiSM, con políticas claras sobre qué datos pueden usarse y qué herramientas están aprobadas, evita que la adopción se convierta en una fuga de información silenciosa. Gobernar la IA es tener visibilidad y control de lo que ocurre. Prohibir, en cambio, solo empuja el uso a la sombra.

5. Invierte en la capa humana con el mismo rigor que en la técnica. Formación continua, simulacros de phishing y una cultura donde reportar un error no se castiga. La tecnología detiene una parte de los ataques, pero el eslabón humano decide el resto, y ese eslabón se entrena.

6. Documenta y ensaya la respuesta a incidentes. Los plazos de 24 y 72 horas de NIS2 no se improvisan. Tener un plan escrito, con roles asignados y un ensayo al menos anual, es la diferencia entre gestionar una crisis y sufrirla mientras corre el reloj de la notificación.

Los próximos noventa días

Nada de esto exige un proyecto faraónico ni un departamento nuevo. Exige orden y criterio. En un trimestre, una mediana empresa puede levantar su mapa de exposición, cerrar la identidad con doble factor, definir una política básica de uso de IA y dejar por escrito su plan de respuesta a incidentes. Queda lejos del destino final, pero es la base sobre la que todo lo demás se sostiene, y coloca al consejo del lado correcto tanto de la ley como del riesgo.

La regulación va a seguir apretando, y la ciberseguridad inteligente y automatizada será la norma, no la excepción. La ventaja competitiva la marcará quien convierta antes que los demás una carga regulatoria en una decisión de inversión con sentido económico, porque tenerlo todo perfecto es un objetivo que no existe. Ahí es donde un advisory independiente, que se sienta en la mesa de estrategia y no vende cajas, gana su sitio: ayudando a un consejo sin CIO fuerte a priorizar con lente de riesgo y retorno. Si quieres ver cómo lo abordamos, empieza por nuestros programas de advisory.