Normativa, sector y tendencias GRC. NIS2, AI Act, DORA, ISO 27001, ENS y eventos relevantes para profesionales y organizaciones.
A partir del 18 de abril de 2026 las autoridades competentes pueden iniciar procedimientos de supervisión y sanción a las entidades esenciales e importantes que no hayan implementado las medidas de gestión de riesgos exigidas por la Directiva NIS2. España transpone la directiva a través de la futura Ley de Coordinación de Ciberseguridad, pendiente de aprobación definitiva.
El Reglamento DORA (Digital Operational Resilience Act) es plenamente aplicable desde el 17 de enero de 2025. Afecta a entidades financieras, aseguradoras y proveedores TIC críticos. Exige gestión de riesgos TIC, pruebas de resiliencia y notificación de incidentes graves en 4 horas.
La Fundación Telefónica acogió el II Congreso Foro GRC, organizado por la AEC. Cerca de 400 profesionales de la gobernanza, el riesgo y el cumplimiento debatieron la necesidad de transformar la complejidad regulatoria (NIS2, DORA, AI Act, RGPD) en ventaja estratégica. El consenso: el GRC ya no es tarea del departamento legal sino del consejo directivo.
El capítulo de Madrid de ISACA celebró su Congreso anual de Auditoría & GRC el 26 de marzo. La jornada puso el foco en la convergencia entre auditoría interna, gestión de riesgos y cumplimiento normativo ante el nuevo marco regulatorio europeo. Próximo gran evento: Congreso CiberTodos, octubre 2026.
Un sistema de gestión de seguridad de la información basado en ISO/IEC 27001 cubre aproximadamente el 80% de los controles exigidos por el ENS y la NIS2. Para pymes sin certificación previa, implementar ISO 27001 como primer paso es la estrategia de menor coste y mayor cobertura regulatoria.
El VI Congreso C1b3rwall se celebra los días 2, 3 y 4 de junio en la Escuela Nacional de Policía de Ávila, bajo el lema "Cibercrimen 3.0". Es uno de los eventos de referencia para profesionales de la ciberseguridad en el Estado español, con sesiones técnicas, operativas y estratégicas.
La entrada en vigor simultánea de NIS2, DORA y el AI Act convierte 2026 en el año de la convergencia normativa. Las organizaciones que trataban el GRC como cumplimiento puntual deberán transitar hacia un modelo de gobernanza continua. Los consultores independientes con visión multi-marco e IA como herramienta de trabajo se han convertido en recurso estratégico para pymes.
La Comisión Europea envió un dictamen motivado a España y otros 18 estados miembros por no haber transpuesto la Directiva NIS2 dentro del plazo de octubre de 2024. La futura Ley de Coordinación y Gobernanza de la Ciberseguridad sigue en tramitación parlamentaria mientras las administraciones adaptan sus procesos de contratación a los nuevos requisitos.
El anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad prevé la creación del Centro Nacional de Ciberseguridad (CNC), adscrito a la Presidencia del Gobierno. El organismo dirigirá la política nacional, establecerá criterios comunes para las autoridades sectoriales y actuará como punto de contacto único ante la UE y la ENISA.
El anteproyecto de transposición NIS2 prevé un Perfil de Cumplimiento Específico que permitirá a entidades españolas acreditar el cumplimiento de la directiva a través de la certificación del Esquema Nacional de Seguridad. Una oportunidad estratégica para administraciones y empresas que ya han iniciado su adecuación ENS.
Cyber Security World Madrid se celebra los días 4 y 5 de noviembre de 2026 en los pabellones 3-5 de IFEMA Madrid. Consolida su posición como principal feria de ciberseguridad empresarial del Estado, con expositores, demostraciones de soluciones y sesiones estratégicas para profesionales de la seguridad corporativa e institucional.
El Centro de Ciberseguridad Industrial organiza la 27ª edición de su congreso internacional los días 23 y 24 de septiembre de 2026 en Sevilla. El programa se centra en la protección de infraestructuras críticas, la gestión de riesgos IT/OT en entornos híbridos industriales y las amenazas emergentes en el ecosistema OT, con casos de éxito y paneles de expertos.
El Encuentro Internacional de Seguridad de la Información (ENISE), organizado por el INCIBE, celebra este año su 20ª edición en el Palacio de Exposiciones de León. El evento reúne a empresas, expertos, emprendedores e inversores para compartir las últimas tendencias y oportunidades del sector de la ciberseguridad a escala nacional y europea.
Gartner ha publicado las seis tendencias que marcarán la ciberseguridad en 2026: identidad como nuevo perímetro (IAM centralizado y MFA anti-phishing), IA en los SOC para detección autónoma, convergencia de las regulaciones europeas, gestión de exposición continua, seguridad de la cadena de suministro y la ciberseguridad como tema de consejo de dirección.
El informe de Google Cloud para 2026 sitúa la resiliencia operativa, la automatización de la respuesta a incidentes y la gestión del riesgo como prioridades estratégicas. La ciberseguridad pasa de ser un coste tecnológico a ser un eje de gobernanza corporativa determinante para la continuidad del negocio y la confianza digital ante clientes y reguladores.
La convergencia de NIS2, DORA y el AI Act consolida 2026 como el año en que la ciberseguridad sale del departamento TIC y entra en el consejo de dirección. Las organizaciones que tratan el cumplimiento normativo como una formalidad se ven forzadas a transitar hacia modelos de gobernanza continua del riesgo, con el CISO como interlocutor estratégico de negocio.
El Puerto de Vigo sufrió un ataque de ransomware en marzo de 2026 que interrumpió las operaciones logísticas y administrativas, obligando a recurrir a procesos manuales para mantener la actividad portuaria. El incidente, cubierto por Recorded Future, pone de manifiesto la vulnerabilidad de las infraestructuras portuarias ante amenazas de ransomware cada vez más sofisticadas.
El Ministerio de Hacienda español abrió una investigación tras las declaraciones de un actor malicioso identificado como "HaciendaSec" que afirmaba tener acceso a datos personales, bancarios y fiscales de más de 47 millones de ciudadanos. Las autoridades activaron protocolos de verificación para determinar el alcance real de la posible filtración.
La Comisión Europea confirmó el 24 de marzo un ciberataque dirigido a su infraestructura web Europa, aprovechando vulnerabilidades en servicios en la nube externos. El incidente resultó en la extracción limitada de datos de sistemas públicos y ha activado una revisión de la superficie de exposición de las infraestructuras digitales institucionales europeas.
Según el Informe Global de Amenazas de CrowdStrike, los ataques impulsados por IA han aumentado un 89% entre 2025 y 2026. El tiempo medio de propagación ha caído a 29 minutos, un 65% menos que en 2024. El 75% de los ataques recientes han usado herramientas de IA para automatizar brechas, generando campañas de phishing hiperpersonalizadas y detectando vulnerabilidades en minutos.
El analista jefe de Google advirtió el pasado 11 de mayo que la IA ya se utiliza activamente para explotar vulnerabilidades, no solo para detectarlas. El aviso llega en un contexto en que varias familias de ransomware han incorporado módulos de IA para identificar automáticamente puntos débiles en infraestructuras corporativas y adaptar el ataque en tiempo real sin intervención humana.
En 2026, la inteligencia artificial consolida su rol en los Centros de Operaciones de Seguridad (SOC), pasando de ser una herramienta de apoyo a ser el motor de detección y respuesta. Los sistemas actuales alcanzan una precisión superior al 96% en la identificación de anomalías e inician contramedidas en menos de 30 segundos, reduciendo drásticamente la ventana de exposición ante incidentes activos.