septiembre 8, 2025
El contexto: por qué las finanzas no pueden permitirse fragilidad La continuidad operativa es hoy una de las condiciones esenciales para el mundo bancario, financiero y […]
La Directiva NIS2 entró en vigor en Italia en octubre de 2024, pero un año después el panorama sigue siendo preocupante: miles de empresas aún no han iniciado un plan concreto de adecuación.
Las estimaciones hablan de más de 14–16 mil organizaciones italianas implicadas en finanzas, energía, sanidad, industria e infraestructuras digitales. Una cifra importante que refleja el alcance sistémico de la directiva, pero que choca con un hecho igualmente claro: solo una parte de estas empresas ha destinado presupuestos, competencias y gobernanza realmente alineados con los requisitos normativos. El riesgo, para muchas, es encontrarse desprevenidas justo cuando la resiliencia digital ha dejado de ser una opción para convertirse en una obligación operativa.
Tras el optimismo declarado se esconde una realidad muy distinta. Según una investigación realizada por Zscaler, el 77% de los responsables de TI italianos está convencido de alcanzar la conformidad dentro del plazo, pero menos de la mitad (48%) afirma conocer realmente los requisitos de la directiva. La brecha entre percepción y conciencia concreta es evidente.
En el plano operativo también surgen señales críticas: solo el 23% de las empresas italianas define como “excelentes” sus prácticas de seguridad, mientras que en el resto de la región EMEA nada menos que el 66% de las organizaciones declara que no podrá cumplir los plazos. Una tendencia que no perdona a Italia, donde el riesgo de retrasos se ve acentuado por la fragmentación de las inversiones.
El gasto medio en ciberseguridad se sitúa en torno a 1,4 millones de euros al año, pero en la mayoría de los casos se distribuye en herramientas e iniciativas desconectadas, en lugar de en una estrategia estructurada de adecuación a la NIS2. Esta es una de las principales razones por las que la conformidad sigue siendo lejana: sin una gobernanza clara y un enfoque integrado, las inversiones no producen el efecto esperado.
En los últimos meses, hemos administrado un cuestionario dedicado a la NIS2 a las principales empresas italianas, con el objetivo de capturar el estado real de avance hacia la conformidad respecto a las áreas temáticas específicas del reglamento.
La encuesta involucró a unas 150 organizaciones pertenecientes a los sectores afectados por la directiva, como finanzas, seguros, energía y utilities, retail e industria manufacturera. El estudio no se limitó a preguntar “¿son conformes o no?”, sino que analizó en detalle el nivel de madurez en áreas críticas como gobernanza, gestión de activos, respuesta a incidentes y seguridad de la cadena de suministro.
Del análisis de las respuestas surgió un panorama claro: muchas empresas han iniciado caminos de adecuación, pero la distancia entre “conformidad parcial” y “plena conformidad” sigue siendo significativa. De este cuestionario derivamos el escenario que sigue, con un resumen para cada área temática en tres niveles de conformidad – Crítico, Parcial y Conforme – que permiten evaluar de un vistazo el grado de posicionamiento actual de las empresas italianas.
Leyenda: 🟢 Crítico 🟡 Parcial 🔴 Conforme
El corazón de la NIS2 es la gobernanza del riesgo, pero los datos muestran un evidente retraso: el 77,3% de las empresas se limita a iniciativas parciales y solo el 13,6% ha alcanzado la conformidad. Esto significa que la mayoría de las empresas aún no dispone de un modelo estructurado para integrar el riesgo cibernético en las decisiones estratégicas. Es una brecha crítica, porque sin una gobernanza sólida toda la organización sigue siendo vulnerable, independientemente de las herramientas técnicas adoptadas.
Casi la mitad de las empresas (45,5%) se encuentra en una fase intermedia, pero llama la atención que más de una cuarta parte (27,3%) siga en estado crítico. El mismo valor (27,3%) representa las empresas ya conformes, lo que indica que existe una fuerte división en el mercado: algunas organizaciones han iniciado un camino estructurado, otras en cambio permanecen expuestas. La NIS2 hace que estas medidas sean obligatorias, y su falta de implementación no es solo un problema de conformidad, sino de resiliencia general.
La gestión de proveedores es el eslabón más frágil de la cadena: más de un tercio de las empresas (36,4%) está en estado crítico y la mitad (50%) solo ha abordado el tema parcialmente. Solo el 13,6% ha implementado controles adecuados. Este dato confirma cuán privilegiada es la cadena de suministro como punto de entrada para los ciberataques y cuánto insiste la directiva en la necesidad de extender la seguridad más allá de los límites de la empresa. Ignorar esta área significa multiplicar los riesgos en todo el ecosistema operativo.
La capacidad de detectar y responder rápidamente a los incidentes es central en la NIS2, pero los números son alarmantes: solo el 4,5% de las empresas es conforme, mientras que el 68,2% sigue en un nivel parcial y el 27,3% en plena criticidad. Esto significa que, en caso de ataque, la mayoría de las organizaciones no sería capaz de gestionar correctamente la crisis ni de cumplir con las obligaciones de notificación previstas por la directiva. Es un riesgo directo no solo para la continuidad del negocio, sino también para la credibilidad empresarial en el mercado.
La continuidad del negocio es una obligación operativa impuesta por la directiva, pero aquí los números hablan claro: 45,5% crítico, 45,5% parcial, solo 9,1% conforme. Muchas empresas aún no disponen de planes de continuidad realmente probados y actualizados. Esto es particularmente grave, porque una interrupción prolongada de los servicios esenciales no solo se traduce en pérdidas económicas, sino también en daños sociales y reputacionales, difíciles de recuperar.
Es el área que registra el mejor resultado en términos de conformidad: el 40,9% de las empresas es conforme y más de la mitad (54,5%) se encuentra en estado parcial. Solo un 4,5% es crítico. Esto demuestra que las empresas han comprendido la importancia del factor humano y están invirtiendo en programas de concienciación. Sin embargo, la formación debe evolucionar de actividades esporádicas a trayectorias continuas, para transformar la concienciación en una verdadera cultura de seguridad.
La monitorización constante y las auditorías regulares son la base de un modelo resiliente. En Italia, sin embargo, la situación sigue siendo desigual: 45,5% parcial, 27,3% conforme y 27,3% crítico. Esto significa que muchas empresas han introducido herramientas de control, pero sin la regularidad y la profundidad necesarias. La NIS2 exige un enfoque estructurado y sistemático, porque solo a través de verificaciones periódicas es posible identificar y corregir vulnerabilidades antes de que se conviertan en incidentes.
Las dificultades de adecuación a la NIS2 no dependen solo de la tecnología, sino sobre todo de la cultura y de la organización. En muchas empresas italianas la alta dirección aún no es plenamente consciente de la importancia estratégica de la ciberseguridad, que sigue tratándose como un tema técnico a delegar al área de TI en lugar de como una palanca de gobernanza capaz de incidir en la continuidad operativa, la reputación y la competitividad.
A esto se añade una carencia de competencias especializadas internas. Traducir los requisitos de la directiva en procesos estructurados y mantenerlos actualizados requiere profesionales cualificados y formación continua, recursos que no todas las organizaciones tienen ya en su plantilla.
La situación se complica aún más en el frente de la cadena de suministro, a menudo no completamente mapeada. Sin una visión clara de los proveedores y de las terceras partes implicadas, el riesgo se extiende a lo largo de toda la cadena, precisamente donde la NIS2 exige en cambio un control minucioso.
Por último, todavía prevalece un enfoque reactivo más que proactivo: se interviene después del incidente, en lugar de trabajar en prevención, monitorización constante y respuesta inmediata. Una actitud que contrasta con la filosofía misma de la directiva, concebida para construir resiliencia antes de que se manifieste la crisis.
Ignorar o posponer la adecuación a la NIS2 no es una opción neutral: significa exponerse a consecuencias que pueden comprometer la solidez misma de la organización.
El primer riesgo es el económico. La directiva prevé sanciones de hasta el 2% de la facturación anual global para las entidades esenciales: una penalización capaz de erosionar márgenes y presionar los presupuestos, especialmente si se compara con los costes – a menudo inferiores – necesarios para poner en marcha un plan de conformidad estructurado.
Al daño financiero se añade el reputacional. En un mercado donde la confianza es el activo más frágil, una brecha de datos no gestionada correctamente o una notificación tardía puede socavar relaciones construidas durante años y comprometer la credibilidad ante clientes, socios e inversores. Recuperar esa confianza, una vez perdida, es un proceso largo e incierto, que en muchos casos deja cicatrices permanentes.
El tercer frente es el de la continuidad operativa. La directiva nace precisamente para prevenir interrupciones que, en sectores críticos como la energía, las finanzas o la sanidad, tienen un impacto inmediato no solo en la empresa, sino en todo el sistema económico y social. Incidentes que podrían haberse contenido con las medidas de la NIS2 corren el riesgo de transformarse en crisis prolongadas, con costes exponenciales en términos de productividad y servicio.
En definitiva, el incumplimiento de la NIS2 no se traduce solo en multas elevadas: significa poner en duda la estabilidad económica, la reputación en el mercado y la propia capacidad de garantizar la continuidad de los servicios. Es un desafío que ninguna organización puede permitirse subestimar.
La NIS2 ha trasladado la ciberseguridad del perímetro técnico al corazón de la gobernanza corporativa. Ya no se trata de un requisito de TI, sino de una responsabilidad que involucra directamente a la alta dirección, porque afecta a la capacidad de garantizar la continuidad, proteger la reputación y mantener la confianza del mercado.
Actuar ahora significa reducir el riesgo de sanciones, pero sobre todo transformar una obligación normativa en una ventaja competitiva. Las organizaciones que sepan anticipar la conformidad demostrarán solidez y fiabilidad en un contexto cada vez más sensible a la resiliencia digital.
En un panorama en el que las interrupciones ya no son excepciones sino parte de la normalidad, la diferencia no estará entre quienes sufran un incidente y quienes no, sino entre quienes sepan seguir operando sin detenerse.
Los datos recogidos muestran claramente cuánto sigue incompleto el camino hacia la conformidad con la NIS2 y cuán urgente es cerrar la brecha. No adecuarse significa exponerse a sanciones, daños reputacionales e interrupciones operativas que la directiva pretende precisamente prevenir.
Por ello hemos mantenido activo nuestro cuestionario, una herramienta práctica para evaluar el nivel de adecuación de tu organización e identificar las áreas en las que intervenir.
Al completarlo también podrás acceder a una llamada dedicada con nuestros expertos, para transformar el análisis en un primer paso concreto hacia la adecuación.
ai.esra SpA – strada del Lionetto 6 Torino, Italy, 10146
Tel +39 011 234 4611
CAP. SOC. € 50.000,00 i.v. – REA TO1339590 CF e PI 13107650015
“Este sitio web se compromete a garantizar la accesibilidad digital conforme a la normativa europea (EAA). Para informar sobre problemas de accesibilidad, escribe a: ai.esra@ai-esra.com”
ai.esra SpA – strada del Lionetto 6 Torino, Italy, 10146
Tel +39 011 234 4611
CAP. SOC. € 50.000,00 i.v. – REA TO1339590
CF e PI 13107650015
© 2024 Esra – Todos los derechos reservados
