En un mundo cada vez más interconectado, la ciberseguridad se ha convertido en una prioridad no solo para las grandes organizaciones, sino también para las pequeñas y medianas empresas. El último informe del Foro Económico Mundial sobre los riesgos globales pone de manifiesto que los ciberataques se han convertido en una de las principales preocupaciones para administraciones y compañías.

En España, el Instituto Nacional de Ciberseguridad (INCIBE) reportó un aumento del 24 % en los incidentes de ciberseguridad en el último año, y este panorama no parece mejorar a corto plazo.

A medida que nos acercamos a 2025, el cibercrimen continúa evolucionando. El coste medio de la recuperación de un ciberataque asciende a 2,7 millones de dólares, y los rescates solicitados por los atacantes superan los 2 millones. Los ciberdelincuentes están utilizando herramientas cada vez más sofisticadas y tecnologías como la inteligencia artificial para llevar a cabo ataques más rápidos y difíciles de detectar. Las pequeñas y medianas empresas, que muchas veces creen estar a salvo por su tamaño o visibilidad limitada, son ahora también objetivos atractivos para los ciberdelincuentes.

En este complejo contexto y con la entrada en vigor de la nueva directiva NIS2, las empresas españolas se enfrentan a un panorama de retos y oportunidades que marcarán las directrices para 2025 y más allá. Esta nueva directiva europea, que afecta a más de

27.000 empresas medianas y a todas las administraciones públicas del país, presenta tres grandes retos, pero también una buena oportunidad para mejorar la resiliencia frente a las crecientes amenazas cibernéticas.

En primer lugar, la norma incluye nuevas medidas esenciales para fortalecer la ciberseguridad de las organizaciones. Si bien algunos de sus requisitos pueden parecer básicos, su implementación efectiva sigue siendo insuficiente en muchas compañías. Estas medidas incluyen desde la autenticación de doble factor hasta la creación de planes de gestión de incidentes, pasando por la formación continua de los empleados, un área en la que muchas organizaciones aún están rezagadas.

En segundo lugar, se impone la obligación de notificar incidentes cibernéticos a las autoridades en plazos muy estrictos. Las empresas deberán ser capaces de identificar, documentar y reportar un incidente en 24 horas, con una notificación detallada en 72 horas, algo para lo que muchas no están preparadas. Además, esta directiva no solo contempla medidas de seguridad, sino que también establece sanciones severas, lo que obliga a los directivos a involucrarse de forma más activa en la estrategia de ciberseguridad, ya que las multas pueden ser significativas.

En tercer lugar, la falta de profesionales especializados en ciberseguridad representa otro desafío importante ligado a un sector en constante evolución. A nivel global, se necesitan más de 4 millones de expertos, y en España la cifra ronda los 50.000. Para mejorar la ciberresiliencia del país, es imprescindible invertir en formación, no solo de perfiles técnicos, sino también de profesionales de todas las áreas. En este sentido, asociaciones tecnológicas como @aslan están haciendo una labor crucial, difundiendo el uso de

tecnologías avanzadas y generando un ecosistema que fomente la colaboración público-privada, que impulse la digitalización y la competitividad del país.

Para tratar de responder a estos tres grandes desafíos, la ciberseguridad gestionada se presenta como una solución eficiente. Este enfoque permite externalizar la gestión a expertos y ofrece a las empresas una protección completa. La clave está en los servicios de detección y respuesta ante incidentes (MDR), que están disponibles las 24 horas del día, los

7 días de la semana, lo que permite a las organizaciones estar protegidas en todo momento. Este modelo no solo resuelve el problema de la falta de personal especializado en ciberseguridad, sino que también ayuda a las empresas a estar mejor preparadas para identificar y mitigar amenazas de forma proactiva.

En definitiva, si lo analizamos bien, la NIS2 no es solo un desafío normativo. Es una oportunidad para que las empresas españolas refuercen su postura de ciberseguridad, protejan su información y mejoren su resiliencia. Es el momento de que los directivos, junto con los CTO y CISO, reconozcan que la ciberseguridad es una responsabilidad compartida por toda la organización. 2025 está a la vuelta de la esquina, y las empresas que se anticipen y se preparen adecuadamente no solo cumplirán con la normativa, sino que estarán mejor equipadas para prosperar en un entorno digital cada vez más complejo.