La Directiva NIS2 surge en el contexto de una Unión Europea que busca fortalecer su ciberseguridad, un objetivo ambicioso dado el panorama actual de amenazas digitales. Diseñada para proteger la economía y los servicios esenciales, NIS2 no es simplemente una normativa técnica; es un esfuerzo por integrar la seguridad en la cultura operativa de sectores críticos como la energía, el transporte, la banca y la salud. Sin embargo, a medida que la directiva avanza hacia su fase de cumplimiento real, se plantea un desafío significativo: la aparición de una Europa dividida entre entidades que manejan con soltura las nuevas exigencias y aquellas que luchan por seguir su ritmo.
La insurtech Stoïk ha sido particularmente vocal sobre esta división. Su director de ciberseguridad, Vincent Nguyen, advierte que existe una creciente brecha entre grandes organizaciones con recursos y pequeñas y medianas empresas que se enfrentan a la ardua tarea de cumplir con los requisititos de NIS2. Esta situación plantea un problema no solo técnico, sino también económico, ya que podría derivar en la pérdida de contratos para quienes no logren adaptarse.
El cumplimiento de NIS2 va más allá de la simple instalación de software de protección. La directiva requiere gestión de riesgos, sofisticación organizativa, trazabilidad y, crucialmente, una capacidad tangible de demostrar dichas medidas. Además, impone plazos estrictos para la notificación de ciberataques, poniendo presión adicional sobre las estructuras corporativas.
El coste de cumplir con NIS2 se refleja no solo en la tecnología, sino también en el tiempo y los recursos dedicados a auditorías, consultorías y capacitación. Como resultado, muchas empresas están redirigiendo sus inversiones a certificaciones y evidencias de cumplimiento, sacrificando áreas clave como la modernización de infraestructuras y proyectos de transformación digital.
Este fenómeno ha llevado a una «Europa a dos velocidades», un escenario donde el cumplimiento regulatorio se convierte en un diferenciador competitivo. Empresas que puedan demostrar madurez en ciberseguridad se posicionarán favorablemente en el mercado, mientras que quienes no lo logren, corren el riesgo de ser relegados.
Con la NIS2 ya en vigor, el cumplimiento no es solo una meta futura, sino una realidad presente que implica responsabilidad. En este contexto, Stoïk proyecta una serie de tendencias para 2026, que van desde el aumento del ransomware hasta la sofisticación de los ciberdelincuentes, pasando por el papel de la inteligencia artificial en suplantaciones y la vulnerabilidad de la cadena de suministro.
A pesar de los desafíos, NIS2 también representa una oportunidad de instaurar orden y disciplina en el ámbito de la ciberseguridad. Sin embargo, el verdadero logro de la directiva será si Europa consigue elevar su seguridad sin desvincular del proceso a aquellos actores más pequeños, pero igualmente vitales para el funcionamiento de servicios esenciales. La pregunta que se plantea es si la directiva podrá fortalecer realmente la ciberseguridad del continente sin sacrificar la participación de las pymes y los proveedores en este ecosistema.
