Ley de Ciberseguridad: De carga normativa a ventaja competitiva

La Ley de Ciberseguridad: de la carga normativa a la ventaja competitiva

Michael Duffy

17 Septiembre 2025 Visitas: 94

La próxima Ley de Ciberseguridad de Suecia, basada en la Directiva NIS2 de la UE, se describe a menudo como otra pesada carga para las organizaciones. Pero me gustaría cuestionar esa opinión. De hecho, esta ley podría marcar el comienzo de una nueva era: una en la que la ciberseguridad ya no sea una cuestión secundaria, sino una oportunidad estratégica y una clave para la competitividad.

De voluntario a obligatorio

La ley impone lo que durante mucho tiempo se ha considerado «buena práctica», pero que no siempre ha sido una realidad: análisis sistemáticos de riesgos, procedimientos documentados, notificación de incidentes y una clara división de responsabilidades.

Es cierto que esto puede percibirse como burocrático e incómodo. Pero, al mismo tiempo, es difícil ver una alternativa. En una situación en la que las amenazas cibernéticas son cada vez más sofisticadas, desde actores estatales hasta el crimen organizado, ya no basta con esperar que las iniciativas voluntarias den resultado.

Los consejos de administración rinden cuentas

Una de las partes más controvertidas de la ley es el requisito de rendición de cuentas por parte de la dirección. La ciberseguridad está pasando de la sala de servidores del departamento de TI a la agenda de la sala de juntas.

Esto no solo ejerce una mayor presión sobre los líderes empresariales, sino que también supone una oportunidad: las empresas que logren integrar la ciberseguridad en su estrategia empresarial pueden crear una ventaja competitiva a largo plazo. Por otro lado, los equipos directivos que decidan considerar la ciberseguridad como una obligación costosa se quedarán atrás.

La cuestión va más allá de los aspectos legales: ¿cómo podemos desarrollar una nueva forma de liderazgo digital, en la que la seguridad y el desarrollo empresarial vayan de la mano?

La cadena de suministro se vuelve transparente

Otro cambio es que los requisitos ya no se limitan a la propia empresa, sino que abarcan toda la cadena de suministro. Ningún actor puede esconderse ya detrás de la letra pequeña de los contratos.

Esto puede parecer otro problema más con el que lidiar. Pero también supone una oportunidad para diferenciarse. Las empresas que puedan demostrar solidez y transparencia en toda la cadena resultarán más atractivas para los clientes, socios e inversores. La ciberseguridad se está convirtiendo en un sello de calidad, al igual que ya lo son la sostenibilidad y los criterios ESG.

Del silencio a la transparencia

«La notificación de incidentes es uno de los mayores cambios culturales. Los incidentes graves deben notificarse en un plazo de 24 horas».

Sí, puede dar miedo exponer tus debilidades. Pero también puede contribuir a un cambio: pasar de ver los ciberataques como algo vergonzoso a considerarlos parte de la realidad, algo con lo que debemos lidiar de forma abierta, sistemática y colectiva.

Estamos acostumbrados a hablar de cultura de la seguridad en el entorno laboral y de seguridad física. ¿Quizás sea hora de construir la misma cultura en el mundo digital? Una cultura en la que el aprendizaje, el intercambio y la apertura sean fundamentales.

Sanciones estrictas

Para garantizar que la ley tenga impacto, también se prevén sanciones: multas de hasta el 2 % de la facturación anual global. Se trata de niveles que pueden ser significativos incluso para las grandes empresas. Esto envía una señal clara: la ciberseguridad no es un detalle técnico, es una cuestión de función social y confianza. Si las organizaciones no se lo toman en serio de forma voluntaria, los incentivos económicos obligarán al cambio.

Conclusión: la ciberseguridad como activo estratégico

Prefiero ver la nueva Ley de Ciberseguridad como algo más que una carga normativa. Es una oportunidad para construir una sociedad digital caracterizada por la confianza, la solidez, la innovación y los activos estratégicos.

Pero las leyes por sí solas nunca pueden crear cultura o valor estratégico. Depende de nosotros —consejos de administración, dirección, empleados y socios— decidir si consideramos la ciberseguridad como un gasto necesario o como una inversión en el futuro.

👉 ¿Nos atrevemos a ver la ciberseguridad como una oportunidad estratégica en lugar de como un mal necesario?
👉 ¿Nos atrevemos a exigirnos a nosotros mismos lo mismo que exigimos a nuestros socios?
👉 ¿Nos atrevemos a compartir nuestros errores para que todos podamos salir fortalecidos?

El debate sobre la innovación frente a la carga regulatoria continuará. Pero una cosa es segura: el futuro de la ciberseguridad no se decidirá en el texto de la ley, sino en cómo decidimos vivirlo.

Michael Duffy

CEO, Excedo Networks AB

Michael Duffy es el director ejecutivo y director de seguridad de la información de Excedo Networks, con más de 30 años de experiencia en TI y ciberseguridad. Michael, reconocido experto en la materia, tiene como misión hacer que Internet sea más seguro para particulares y empresas. A través de su trabajo en Excedo, ha colaborado con importantes entidades gubernamentales suecas para proteger sistemas críticos frente a un panorama de amenazas cibernéticas en constante evolución.

Soluciones digitales premium

La Ley de Ciberseguridad: de la carga normativa a la ventaja competitiva

De voluntario a obligatorio

Los consejos de administración rinden cuentas

La cadena de suministro se vuelve transparente

Del silencio a la transparencia

Sanciones estrictas

Conclusión: la ciberseguridad como activo estratégico

Dirección corporativa

Enlaces rápidos

Recursos

Sobre Nosotros

Contáctenos en