Crónica de la mesa redonda celebrada en el foro CyberLideria y moderada por la directora general de la Fundación ESYS · Madrid, 21 de mayo de 2025
Cuando se abrieron las puertas del auditorio Beatriz (muy cómodo y céntrico por cierto), entre el run-rún de los temas que se tratarían estaba lógicamente: la Directiva NIS 2, el Reglamento CER de resiliencia y el incipiente AI Act llegan a los servicios esenciales con la promesa –o la amenaza– de alterar las reglas del juego.
Para poner negro sobre blanco, la directora general de la Fundación ESYS (Empresa Seguridad y Sociedad Digital) (ESYS), Maite Arcos, moderó la mesa de tres guardianes de infraestructuras críticas: Javier García Quintela (CISO de Repsol), Eduardo Cunha (Global CISO de COSENTINO) y Paloma Garbayo Tavera (CISO de Iberdrola).
La bienvenida corrió a cargo de Esther Mateo, responsable de Ciberseguridad y Transformación Digital en ADIF, que recordó “la responsabilidad ineludible de quienes gestionan los sistemas de los que depende la vida cotidiana de millones de personas”.
A partir de ahí, Maite inició el debate se bifurcó en torno a una pregunta sencilla y, a la vez, demoledora: ¿es la nueva regulación un freno o una palanca para la ciberseguridad?
La ola normativa que lo inunda todo
El telón de fondo fue el apagón masivo que España sufrió el 28 de abril de 2025 (creo que nos se nos olvidará a ninguno esa fecha, sobre todo si la juntamos con la de la canción del 20 de abril del 90 que a muchos nos trae magníficos recuerdos).
Y es que el fallo eléctrico dejó incontables sistemas TIC a oscuras. “Ese incidente demostró –prevenía Arcos– que la frontera entre lo ciber y lo físico se ha borrado y que la resiliencia ya no puede ser opcional”.
La Directiva NIS 2, en fase final de transposición, obligará a más de 30 000 compañías españolas a declarar incidentes graves en cuestión de horas y a acreditar medidas de protección “razonables y proporcionadas”.
Para Javier García de Repsol, el matiz está en la implementación:
“Prestar un servicio esencial no te da libertad para ir por libre, pero notificar cada caída cuando aún estás gestionando la crisis no te ayuda a levantarla. Lo importante es prevenir; la burocracia debe ayudar, no lastrar”.
Notificar o prevenir: dos caras de la misma moneda
La regulación introduce un doble imperativo: prevenir y reportar. Aquí emergieron visiones diferentes. Mientras García y Cunha incidían en la sobrecarga que implica el reporte, Paloma Garbayo defendió el valor de la lógica preventiva:
“En Iberdrola la ciberseguridad se gestiona por ciclos de mejora continua. La NIS 2 no trae recetas mágicas –esas prácticas ya las aplicamos–, pero sí eleva el listón de todo el ecosistema energético, y eso es una palanca”.
Para Cosentino, multinacional almeriense con 59 filiales, la fotografía se complica. Cunha lo resumió con ironía:
“Nos estamos pasando con la legislación. Necesitamos un estándar único que todos podamos abrazar, no una contabilidad paralela de controles para cada país”.
El eslabón más débil: la cadena de suministro
La mesa coincidió en que la gran incógnita es la subcontratación. Repsol, Iberdrola y Cosentino arrastran enjambres de pymes que fabrican piezas, prestan mantenimiento o custodian datos. Con NIS 2, la obligación de “garantizar la seguridad del proveedor” se convierte en mandato legal.
Cunha fue contundente: “Podemos desplegar los controles que exija Bruselas, pero ¿podrán nuestras pequeñas auxiliares en la provincia de Almería fichar a un experto en OT, pagar licencias premium y auditarse cada año? Hay que definir qué es ‘razonablemente posible’ para ellas”.
García añadió que la energía y los combustibles han generalizado procesos de Third-Party Risk Management, pero siguen faltando evidencias homogéneas:
“Cada regulador pide formularios distintos. Un reconocimiento mutuo europeo evitaría duplicar auditorías y ahogaría menos al proveedor”.
Fatiga regulatoria y talento escaso
Además de costes, la proliferación normativa alimenta la llamada “fatiga de cumplimiento”. La directora de ESYS planteó si el modelo europeo –basado en “obligaciones de medios” y riesgo cero imposible– no terminará exigiendo más recursos de los que hay en el mercado.
García lo ilustró con una cuenta mental: “Más amenazas, más digitalización y más regulación… El CISO es hoy director de orquesta, negociador legal y hombre del saco que alerta al consejo. Fácil no es”. Garbayo replicó con optimismo: “Si todos jugamos con las mismas reglas, captar talento y presupuesto es más sencillo; el consejo entiende que no se trata de ‘marcar casillas’, sino de continuidad operativa”.
Hacia un tablero común
Pese a los matices, los tres ejecutivos convergieron en cinco ideas-fuerza:
- Regulación indispensable, pero proporcional: las normas elevan la madurez si se armonizan y se aplican con realismo.
- Riesgo antes que cumplimiento: la esencia es demostrar resiliencia, no llenar formularios.
- Estándar europeo urgente: sin evidencias y auditorías compatibles, la multinacional se convierte en malabarista normativo.
- Cadena de valor como reto crítico: si las pymes no pueden subirse al tren, habrá un cuello de botella de seguridad.
- CISO estratégico: las nuevas leyes implican a los consejos de administración, pero la presión operativa recae todavía en el responsable de seguridad.
Consciente de la carga que se avecina, Maite Arcos cerró la sesión apelando a la colaboración:
“El riesgo cero no existe y la responsabilidad ya no es sólo del CISO; pasa a los órganos de dirección. Pero si regulador, gran empresa y proveedor reman en la misma dirección, la ciberseguridad dejará de ser un coste para convertirse en ventaja competitiva”.
En las proximas semanas iré publicando los artículos de las diferentes mesas redondas que tuvieron lugar. Confío en que os sirva de referente.
Quién es quién (enlaces a LinkedIn)
- Javier García Quintela – CISO de Repsol https://www.linkedin.com/in/javiergarciaquintela/
- Paloma Garbayo Tavera – CISO Iberdrola España https://www.linkedin.com/in/paloma-garbayo-tavera-3b853683/
- Eduardo Cunha – Global CISO, Cosentino https://www.linkedin.com/in/eduardo-cunha-4613894/
- Maite Arcos – Directora general, Fundación ESYS (moderadora de la mesa) https://www.linkedin.com/in/maite-arcos/
- Esther Mateo Rodríguez – Directora de Ciberseguridad y Transformación Digital, ADIF (presentadora) https://www.linkedin.com/in/esther-mateo-rodriguez-5129ab51/
