La Directiva NIS2 nació para endurecer el listón de la ciberseguridad en toda la Unión Europea, especialmente allí donde un fallo digital no es solo un problema técnico, sino un riesgo real para la economía y para servicios esenciales. Pero, a medida que se acerca la fase de cumplimiento “de verdad” —con supervisión, auditorías y sanciones en el horizonte—, empieza a aparecer un efecto colateral que en el sector ya se comenta abiertamente: una Europa dividida entre quienes pueden cumplir con solvencia y quienes van a trompicones.
Esa es, precisamente, una de las principales conclusiones que pone sobre la mesa la insurtech Stoïk. Su director de ciberseguridad, Vincent Nguyen, advierte de un choque en el cumplimiento: por un lado, sectores críticos con músculo financiero y equipos dedicados; por otro, proveedores, subcontratas y pymes que se ven empujados a una carrera de requisitos que no siempre pueden asumir al mismo ritmo.
NIS2: más que una directiva, un cambio de cultura (y de presupuesto)
NIS2 refuerza el marco europeo de seguridad de redes y sistemas, con un objetivo sencillo de explicar y difícil de ejecutar: que servicios clave como energía, transporte, banca o salud puedan seguir funcionando incluso bajo ataque, con obligaciones claras de prevención, respuesta y notificación a las autoridades.
En la práctica, el cumplimiento no se limita a “tener un antivirus” o un proveedor de seguridad: exige gestión de riesgos, medidas organizativas y técnicas, trazabilidad y, sobre todo, capacidad de demostrar que se está haciendo lo necesario. La directiva también incorpora plazos de notificación más exigentes: un aviso temprano y, después, comunicaciones detalladas con un calendario formal.
Y aquí entra el punto de fricción que subraya Stoïk: cumplir cuesta, y no solo en tecnología. Cuesta en tiempo directivo, en consultoría, en procesos, en auditorías y en formación. Nguyen apunta además a una consecuencia directa: muchas compañías están desviando inversión hacia certificaciones y evidencias de cumplimiento, lo que puede dejar menos margen para otras prioridades internas, desde modernización de infraestructuras hasta proyectos de transformación digital.
“Europa a dos velocidades”: el riesgo de una brecha en la cadena
El diagnóstico de Stoïk se apoya en una realidad incómoda: la ciberseguridad de una organización ya no depende solo de lo que haga dentro, sino de lo que ocurre en su ecosistema de terceros. Un gran actor puede tener equipos, SOC, seguros, red-teaming y planes de continuidad… pero si su proveedor pequeño no llega al nivel mínimo, el riesgo entra por la puerta de atrás.
En ese sentido, la “Europa a dos velocidades” no es solo una metáfora social: es un escenario operativo donde la exigencia regulatoria sube para todos, pero la capacidad de ejecutar sube a ritmos distintos. Y esto, en términos de mercado, también introduce un factor competitivo: la organización que pueda demostrar madurez y cumplimiento gana contratos, mientras que quien no pueda, los pierde.
Además, con el plazo de transposición de NIS2 ya superado en la UE, el contexto regulatorio se vuelve más exigente: el cumplimiento deja de ser un “proyecto futuro” y pasa a ser una conversación de presente, con implicaciones de responsabilidad.
Ocho tendencias para 2026 según Stoïk: de ransomware a “ciberseguridad 360º”
A partir de ese telón de fondo, Nguyen comparte ocho tendencias que, en su opinión, marcarán la ciberseguridad en 2026. Son predicciones que mezclan amenazas técnicas, cambios de comportamiento criminal y efectos colaterales del despliegue acelerado de la Inteligencia Artificial.
1) NIS2 y el choque de cumplimiento: el punto de partida
La primera tendencia es, precisamente, la división por capacidad de cumplimiento: sectores críticos frente a pymes y proveedores con menos recursos. Para Stoïk, este desequilibrio puede convertir la regulación en un nuevo filtro del mercado.
2) Ransomware como “amenaza silenciosa”
Nguyen describe el ransomware como una amenaza cada vez más difícil de detectar a tiempo. El mensaje de fondo es claro: el ransomware no solo cifra; también se infiltra, espera y busca el punto de máxima presión.
3) La “era del CEO 2.0”: suplantaciones con IA (vishing y deepfakes)
La Inteligencia Artificial generativa ha abaratado y escalado técnicas que antes eran artesanales. Stoïk alerta de un aumento de suplantaciones: clonación de voz, deepfakes de vídeo y fraude por llamada (vishing), especialmente dirigido a perfiles ejecutivos y operaciones con impacto financiero.
4) Desinformación en campañas políticas europeas
Nguyen anticipa un mayor peso de la desinformación en contextos electorales. El riesgo no se limita al “bulo viral”: incluye manipulación de contenido, fabricación de pruebas falsas y campañas de confusión diseñadas para tensionar instituciones y reputaciones.
5) Grandes eventos en el punto de mira: Mundial 2026 y JJ. OO. de Invierno
Los macroeventos deportivos concentran audiencias, transacciones y sistemas críticos temporales (venta de entradas, control de accesos, streaming, Wi-Fi público, logística). Stoïk advierte de que esa dependencia digital puede convertirlos en objetivos atractivos, tanto por visibilidad como por oportunidad.
6) La cadena de suministro, “el eslabón más débil”
Nguyen apunta a ataques contra terceros y dependencias, incluyendo bibliotecas open source y extensiones de navegador. El problema es conocido en el sector: basta comprometer una pieza pequeña, muy distribuida, para multiplicar el impacto.
7) Ciberdelincuentes “más maduros”
Stoïk describe una evolución del adversario: una generación de actores que lleva años probando tecnologías (IA, IoT, automatización) y que combina profesionalización con pragmatismo. Menos ruido, más negocio, más especialización.
8) “Ciberseguridad 360º”: el nuevo paradigma en la era de la IA
Como cierre, Nguyen plantea un cambio de enfoque: la protección ya no puede estar compartimentada. Habla de una ciberseguridad más integral, capaz de cubrir no solo el perímetro clásico, sino identidad, datos, proveedores, modelos de IA, flujos internos y respuesta coordinada a incidentes.
El dilema: cumplir para ser más seguros… o cumplir para “pasar la auditoría”
El aviso implícito de Stoïk es que el sector puede caer en una trampa: convertir NIS2 en un ejercicio de checklists. Y, aun así, el cumplimiento tiene una virtud: obliga a poner orden. En un mercado donde los ataques son más automatizados, más impersonales y más baratos de ejecutar, la defensa necesita justo lo contrario: disciplina, procesos y capacidad de reacción.
La pregunta que queda flotando para 2026 no es si NIS2 “funcionará” en abstracto, sino si Europa conseguirá que el cumplimiento eleve la seguridad real sin romper por el camino a una parte del tejido empresarial que también sostiene —como proveedor o eslabón— a las organizaciones críticas.
Preguntas frecuentes
¿Qué tipo de empresas se verán más presionadas por NIS2 en 2026?
Las que formen parte de cadenas de suministro de sectores regulados (energía, transporte, salud, banca, infraestructuras digitales) y deban demostrar controles, procesos y capacidad de notificación de incidentes.
¿Por qué Stoïk habla de una “Europa a dos velocidades” con NIS2?
Porque no todas las empresas tienen los mismos recursos para cumplir: grandes entidades críticas suelen disponer de presupuesto y equipos, mientras muchas pymes y proveedores afrontan el cumplimiento con más dificultades.
¿Qué es el “CEO 2.0” del que alerta Stoïk?
Un escenario en el que crecen fraudes dirigidos a directivos mediante IA, como clonación de voz (vishing) y deepfakes, para autorizar pagos, cambiar cuentas bancarias o manipular decisiones internas.
¿Por qué la cadena de suministro se considera el “eslabón más débil”?
Porque un atacante puede comprometer un proveedor, una biblioteca open source o una extensión de navegador y escalar el impacto a múltiples organizaciones que dependen de esa pieza.
