Para las organizaciones consideradas esenciales o importantes, el cumplimiento ya no se limitará a tener políticas de ciberseguridad documentadas; sino a poder demostrar que cuentan con capacidad real para resistir, responder y recuperarse ante un incidente.
La Directiva NIS2 de la Unión Europea está entrando en una fase de aplicación más estricta, ya que la responsabilidad pasa de la Comisión Europea a las autoridades nacionales de supervisión. Tras los retrasos en la transposición de la directiva a las legislaciones nacionales, se espera que las organizaciones clasificadas como entidades esenciales o importantes vayan más allá de documentar sus políticas de ciberseguridad y demuestren su capacidad para prevenir, gestionar y recuperarse de los incidentes de ciberseguridad. En mayo de 2025, la Comisión Europea intensificó la presión al emitir dictámenes motivados a 19 Estados miembros que aún no habían implementado plenamente la NIS2, acercándolos a posibles acciones legales ante el Tribunal de Justicia de la Unión Europea.
A medida que continúan desarrollándose las normativas nacionales, las organizaciones pueden esperar un mayor nivel de supervisión mediante requisitos de registro, auditorías, evaluaciones de cumplimiento y posibles sanciones. Una de las principales implicaciones de la NIS2 es que la ciberresiliencia y la capacidad de recuperación pasan a ser obligaciones centrales de cumplimiento normativo. La directiva exige medidas integrales de gestión de riesgos, que incluyen planes de continuidad de negocio, copias de seguridad, recuperación ante desastres, gestión de crisis, seguridad de la cadena de suministro, controles de acceso, cifrado y notificación de incidentes. Las organizaciones deben ser capaces de demostrar que pueden restaurar sus sistemas críticos y mantener sus operaciones incluso durante ciberataques de gran magnitud.
La amenaza del ransomware
Este requisito llega en un momento en el que el ransomware sigue siendo una de las mayores amenazas para la continuidad del negocio. Según el Informe de Tendencias sobre Ransomware de Veeam 2025, el 69 % de las organizaciones encuestadas sufrió al menos un ataque de ransomware. Esta cifra confirma que reforzar las defensas no elimina la necesidad de contar con una estrategia de recuperación sólida.
Los atacantes dirigen cada vez más sus acciones específicamente contra los entornos de backup para impedir la restauración de los datos y aumentar la presión sobre las víctimas. Si las copias de seguridad pueden modificarse, eliminarse o cifrarse, las organizaciones quedan expuestas no solo a interrupciones operativas, sino también al incumplimiento de la normativa.
La importancia de la Inmutabilidad
En este contexto, Object First destaca la importancia de contar con un almacenamiento de copias de seguridad con Inmutabilidad Absoluta (Absolute Immutability) como componente esencial de cualquier estrategia de resiliencia. No obstante, la compañía advierte de que no todas las soluciones de almacenamiento de backup comercializadas como inmutables ofrecen el mismo nivel de protección. Una de las diferencias más importantes es que, con la Inmutabilidad Absoluta, ni siquiera los administradores con privilegios (o los atacantes que hayan conseguido acceder al entorno de almacenamiento), pueden modificar o eliminar los datos de las copias de seguridad una vez que estos han sido escritos.
Para las organizaciones afectadas por la directiva, la prioridad en 2026 será pasar de una preparación meramente formal a demostrar con pruebas su capacidad real de respuesta. Disponer de planes de continuidad de negocio o de políticas de backup ya no será suficiente. Los reguladores, clientes y socios exigirán cada vez más evidencias de que las organizaciones pueden restaurar sus datos, mantener sus operaciones y documentar su respuesta durante un incidente.
Declaraciones
Daniel Fried, SVP, Worldwide Sales de Object First
"Con la NIS2, la resiliencia y la capacidad de recuperación dejan de ser simples buenas prácticas técnicas para convertirse en requisitos de cumplimiento medibles. Las organizaciones deben demostrar que sus sistemas y datos críticos pueden restaurarse tras un ciberincidente, garantizando así la continuidad del negocio y la estabilidad operativa. Esto otorga una mayor importancia a la integridad de las copias de seguridad, ya que será necesario demostrar que los datos de recuperación no pueden ser modificados, cifrados ni eliminados por los atacantes durante un incidente."
