IT 
EN 
De la técnica a la estrategia
Casi una década después de la entrada en vigor de la primera directiva NIS, el panorama de la ciberseguridad en Europa ha cambiado de forma radical. Aunque su cumplimiento era obligatorio, la realidad fue una adopción desigual, con enfoques distintos según el país y el sector.
En la mayoría de los casos, la ciberseguridad se ha estado abordando de manera reactiva: actuar tras un incidente grave o ante una inspección del regulador. Ese tiempo ha quedado atrás.
La revisión del marco normativo europeo, materializada en la directiva NIS2 y reforzada por regulaciones como la normativa DORA o el Cyber Resilience Act (CRA), marca un punto de inflexión claro: ya no hay margen para la improvisación.
Hoy, el aumento continuado de los ciberataques, la hiperconectividad del sistema financiero y la dependencia creciente de ciertos proveedores tecnológicos han elevado el riesgo a un nivel sistémico. En este nuevo contexto, la ciberseguridad deja de ser un asunto puramente técnico para convertirse en una prioridad estratégica del negocio bancario.
Un cambio de mentalidad inevitable
Durante años, la seguridad digital en la banca se percibió como una responsabilidad casi exclusiva de los departamentos de TI o directamente del responsable de seguridad.
Sin embargo, este nuevo conjunto de normas consolida la idea de que la ciberseguridad no es un valor añadido ni una buena práctica opcional, sino una obligación regulada, con requisitos concretos de notificación de incidentes, plazos estrictos, métricas verificables, evidencias auditables y sanciones que pueden tener un gran impacto económico y reputacional.
En este escenario, reaccionar tarde no solo es ineficiente, es peligroso. La única estrategia viable es la anticipación. Por ello, el principal reto para bancos y proveedores tecnológicos no reside tanto en implantar nuevos controles —muchos ya existen— como en asumir el cambio cultural que exige la regulación.
La pregunta clave ya no es “¿qué debemos cambiar para cumplir?”, sino “¿todo lo que ya hacemos nos permite demostrar el cumplimiento normativo de forma continua, trazable y supervisada?”.
Pero uno de los errores más habituales al abordar el cumplimiento NIS2 es tratarla como si fuera una norma técnica más, similar a un estándar ISO con una lista cerrada de requisitos. No lo es. NIS2 introduce un cambio profundo en la gobernanza: la dirección debe implicarse activamente en la gestión del riesgo cibernético, con responsabilidades claras y supervisión real.
Delegar sin control o subestimar este papel puede derivar en sanciones que, paradójicamente, obliguen a destinar más recursos a pagar multas que a mejorar la seguridad efectiva. Por eso, su adopción debe realizarse de forma progresiva y planificada.
Improvisar procesos bajo presión suele generar sobreesfuerzos, errores y tensiones internas, además de aumentar el riesgo en todo el ecosistema de proveedores. En un sector tan interconectado como el financiero, una debilidad en un solo eslabón puede tener efectos en cascada.
Porque además, la normativa amplía de forma explícita el perímetro hacia la cadena de suministro. Proveedores de software, desarrolladores y fabricantes de hardware pasan a formar parte del marco regulado. Para la banca, esto implica una responsabilidad adicional: exigir a sus socios tecnológicos el mismo nivel de madurez, transparencia y resiliencia que se exige internamente.
En este punto, contar con proveedores especializados que integren la seguridad desde el diseño y ofrezcan visibilidad, control y capacidad de respuesta se vuelve crítico. Es el caso de Auriga y nuestras soluciones orientadas a la gestión segura del software y de los entornos críticos de autoservicio bancario, permiten a las entidades reforzar su postura de seguridad sin perder eficiencia operativa.
Cajeros automáticos: un reto tangible
Este cambio de paradigma es especialmente visible en ámbitos donde la tecnología es crítica y está en constante evolución, como son los cajeros automáticos. Está claro que la digitalización ha mejorado la eficiencia y la experiencia del cliente, pero también ha dado lugar a nuevas formas de ataques a cajeros automáticos.
Hoy no solo se roba dinero: también datos y sistemas esenciales, y la accesibilidad física de los ATM los convierte en un objetivo frecuente para el malware, como han demostrado ataques basados en familias como Ploutus, FixS, Green Dispenser o Cutlet Maker. Es por ello que una gestión deficiente de estos dispositivos no afecta únicamente a una entidad concreta, sino que puede comprometer a todo su ecosistema.
DORA obliga a identificar, evaluar y mitigar riesgos específicos en estos entornos, mientras que el CRA refuerza la necesidad de integrar la seguridad desde la fase de diseño del software, con pruebas periódicas, capacidades de recuperación y una gestión transparente de vulnerabilidades. Soluciones de gestión centralizada, hardening, monitorización y actualización segura son claves para cumplir estos requisitos de forma sostenible.
Está claro que, lejos de ser solo una carga regulatoria, NIS2, DORA y el CRA representan una oportunidad para elevar el nivel de gestión de riesgos de ciberseguridad y confianza en todo el sector financiero europeo.
Pero no debemos perder de vista que, en un contexto donde tecnologías emergentes como la inteligencia artificial avanzan a gran velocidad, es poco probable que pasen otros diez años sin nuevos marcos o revisiones normativas.
Adoptar desde ahora controles sólidos, una gobernanza madura y soluciones tecnológicas diseñadas con la seguridad como pilar permitirá a las entidades no solo cumplir, sino construir un ecosistema regulatorio sostenible, resiliente y adaptable.