Marc Sureda
El inicio del año ha supuesto un punto de inflexión para la ciberseguridad en Europa por el vencimiento del plazo de transposición de la directiva NIS 2. El alcance afecta a miles de organizaciones consideradas “Esenciales” e “Importantes”, en sectores que van desde sanidad y energía hasta industria y servicios digitales, y que pasan a estar obligadas a operar bajo un marco más estricto en gestión del riesgo, notificación de incidentes y seguridad de la cadena de suministro.
Aunque algunos Estados miembros no han completado todavía la implementación nacional, la expectativa regulatoria se ha consolidado: NIS 2 deja de ser un requisito a futuro para convertirse en el estándar actual. A ese cambio contribuye un régimen sancionador que puede llegar a 10 millones de euros o al 2% de la facturación global anual, lo que eleva la ciberseguridad a la agenda ejecutiva. Sin embargo, el impacto no se limita a la posibilidad de multas, ya que el enfoque desplaza a las organizaciones desde una seguridad reactiva hacia un modelo de resiliencia operativa proactiva y sostenida en el tiempo.
En ese escenario, Synack encuadra su propuesta tecnológica dentro de la lógica de “seguridad continua” que exige la directiva. La compañía afirma llevar más de una década desarrollando una plataforma orientada a este paradigma, combinando especialistas humanos y automatización avanzada. En concreto, plantea que su aproximación encaja con varios de los requisitos que NIS 2 refuerza.
Para la gestión y divulgación de vulnerabilidades, Synack articula un modelo de pruebas de penetración continuas que combina un equipo de más de 1.500 investigadores (Synack Red Team) con un agente autónomo, Sara, y valida manualmente los hallazgos para evitar falsos positivos y aportar evidencias auditables. En términos prácticos, esto busca facilitar que los responsables de seguridad dispongan de resultados verificables y trazables, con documentación útil ante auditorías o requerimientos regulatorios.
Otro de los ejes de NIS 2 es la cadena de suministro. La directiva amplía la responsabilidad de las organizaciones sobre los riesgos que introducen terceros, de forma que los problemas en proveedores y socios críticos pasan a ser parte del perímetro de riesgo que se espera gestionar. El planteamiento de Synack es extender las pruebas de seguridad a terceros para identificar riesgos más allá de cuestionarios o autoevaluaciones, alineando esa supervisión con la presión regulatoria creciente sobre dependencias externas.
El inventario y la visibilidad de activos expuestos se convierten en otro requisito operativo relevante. La información disponible insiste en que el cumplimiento es inviable sin una visión completa de los activos que están accesibles desde el exterior. Synack Attack Surface Discovery se presenta como un inventario continuo y en tiempo real de activos externos para reducir el “shadow IT”, es decir, sistemas o servicios desplegados sin control formal de TI o seguridad. La idea subyacente es que, sin ese mapa actualizado, la gestión de vulnerabilidades y la priorización de riesgos se apoyan en información incompleta.
El cambio de fondo que introduce NIS 2 también afecta a la asignación de responsabilidades. El texto indica que ya no resulta viable trasladar el problema a terceros: si una vulnerabilidad en un proveedor impacta en la continuidad del servicio, la responsabilidad permanece en la organización afectada. Desde esa perspectiva, Synack sitúa su propuesta como un apoyo para pasar de un enfoque de urgencia a una estrategia de cumplimiento y resiliencia basada en pruebas continuas y datos.
Sergio Rubio, director comercial de Synack para España explica: “En este contexto, los enfoques tradicionales basados en tests de penetración puntuales ya no son suficientes. Evaluar los sistemas una vez al año no equivale a gestionar el riesgo de forma efectiva en entornos digitales dinámicos y en constante cambio. Synack se posiciona como un aliado clave para las organizaciones que buscan alinear su hoja de ruta de ciberseguridad con los requisitos de NIS 2 mediante un enfoque de resiliencia continua”.
La directiva incorpora además obligaciones estrictas de notificación temprana. Según la información facilitada, se exige el envío de un aviso inicial a las autoridades competentes o al CSIRT en un plazo de 24 horas tras detectar un incidente significativo. En ese punto, Synack menciona integraciones con plataformas SOC como Splunk o Microsoft Sentinel para correlacionar vulnerabilidades críticas con inteligencia de amenazas, con el objetivo de priorizar riesgos y acelerar la respuesta.
El marco normativo, según se detalla, impulsa la adopción de medidas técnicas y organizativas continuas para gestionar riesgos de seguridad, incluyendo la gestión de vulnerabilidades, el manejo de incidentes, la divulgación responsable y la protección de la cadena de suministro, tal como recoge el artículo 21 de NIS 2. En consecuencia, el enfoque descrito cuestiona la suficiencia de las evaluaciones puntuales, como los tests de penetración anuales, en entornos digitales que cambian de forma constante, y sitúa la “seguridad continua” como eje de adaptación al nuevo estándar.
