NOTICIAS

Listado de noticias

Carlos Saiz, vicepresidente de ISMS Forum: “Las empresas deben definir políticas de CyberCompliance para mitigar los riesgos derivados de la presión regulatoria”

  • 14/07/2025

Empresas y CISOs advierten que la regulación digital está creando nuevas obligaciones legales en estas organizaciones.

A lo largo de las dos últimas décadas, junto con los avances tecnológicos que impulsan el progreso y la innovación, se ha incrementado de forma exponencial el marco normativo que regula dichos avances, generando más obligaciones para las empresas, no siempre sencillas de cumplir. “La velocidad con la que la IA ha irrumpido dificulta el generar una regulación adecuada de este fenómeno. Los aspectos normativos, éticos y sociales van a rebufo del desarrollo de la IA como tecnología disruptiva”, explica Carlos Saiz, vicepresidente de ISMS Forum.

Este jurista, experto en derecho tecnológico, señala en algunas de sus conferencias que “la innovación no es un dilema. Parece que tenemos que elegir entre innovación y cumplimiento. Creo que más que una elección, ambos elementos deben ir de la mano. Industrias como la farmacéutica, aeronáutica o automoción innovan de forma constante, pero de manera que estos hitos no afecten a los derechos de los ciudadanos. El problema ahora es que no sabemos cómo nos va a afectar la IA, pero sin duda será importante, tanto a efectos laborales como jurídicos o de privacidad”, advierte.

 

Desde su punto de vista, “habrá muchas decisiones tomadas por organizaciones públicas y privadas que nos van a afectar. La regulación está ahí. Aunque no tuviéramos un Reglamento de IA (RIA), ya contamos con el Reglamento de Protección de Datos y con una Carta de Derechos Digitales. Existe ya un mínimo regulatorio que puede ser el soporte de la tecnología que inventemos, porque esos derechos ya existen. Sin contar con el RIA, hay que tener en cuenta el RGPD, la normativa de propiedad intelectual, la de derechos laborales y otras especializadas”.

Para Saiz, “no se trata tanto de regular una nueva tecnología —lo cual puede ser complicado, especialmente si es tan novedosa— como de impulsar un caldo de cultivo adecuado para que la innovación y el cumplimiento vayan de la mano. En ese sentido, el RIA es una norma valiosa, aunque compleja. Sus objetivos y valores están bien trazados, pero necesita guías y metodologías para aterrizar muchos conceptos que han quedado abstractos y generales. Es necesario concretarlos para que las organizaciones puedan cumplirlos con garantías”.

Por el momento, la iniciativa de un centenar de empresas europeas bajo el nombre Stop the Clock, que buscaba suspender el RIA, parece descartada. Carlos Saiz lo ve lógico y apunta que “esa medida no iba a solucionar los problemas actuales. Habrían pasado los dos años de suspensión y las grandes compañías volverían a pedir más plazo. Aquí hemos dejado de hablar de ChatGPT y ahora hablamos de los agentes de IA y otras innovaciones que no van a parar”.

Desde su punto de vista, “hay que trabajar mucho, no tanto en plantear que no se aplique el RIA durante dos años, sino en conocer qué metodologías, herramientas, guías y criterios se están empezando a publicar para dar más certidumbre jurídica a las empresas. Creo que es un paso lógico que debe darse. Luego, las autoridades de control quizás no sean tan severas como en un entorno normativo más maduro, pero eso no significa paralizar la aplicación del RIA”.

¿Cómo gestionamos el tsunami normativo?

Respecto a la solución para gestionar este tsunami normativo de la última década, parece que está clara. “Las compañías deben trabajar más en lo que se entiende como cibercompliance, el mapeo normativo de todas estas normas para ver cómo se aplican y cómo afectan a cada organización. Aún hay empresas que no saben qué normas les afectan y en qué procesos. En este entorno se cruzan la ciberseguridad, DORA, el Esquema Nacional de Seguridad, NIS2, el RGPD y ahora el RIA. Son normas que superponen algunas de sus obligaciones principales, como la gestión de incidentes. Las empresas deben saber qué normas les afectan en su actividad diaria”.

A juicio del vicepresidente de ISMS Forum, “con la regulación normativa debemos ser más sensatos en Europa. No se trata de decir que no hay que regular y dejar el panorama abierto, sino de regular de forma más inteligente para evitar solapamientos o fricciones entre normas. Se trata, sobre todo, de clarificar el ecosistema regulatorio. En Europa se habla ahora de simplificación normativa, y con razón. Ese es el trabajo que deben acometer tanto la industria como el propio regulador. El problema es que no se pueden sacar normas sin conocer cómo afectan a otras o cómo pueden impactar en una organización. Con los sandbox regulatorios se puede probar cómo se adecúa una tecnología a una empresa, en un entorno de pruebas parecido al real”.

Desde su punto de vista, “la utilidad de los sandbox regulatorios, como el que España ya tiene operativo relacionado con la IA, nos ayudaría a revisar si existe o no una carga burocrática excesiva. A esto se suma que aún no queda claro quién debe gestionar la parte regulatoria dentro de las organizaciones. En cada compañía se valora de forma diferente: en algunas, el CISO cuenta con un equipo legal y lo aborda directamente; en otras, se gestiona desde un perfil más técnico. Habrá que ver cómo lo resuelve cada empresa en la práctica”.

Por el momento, la figura del Chief Artificial Intelligence Officer (CAIO) “solo se ve en grandes organizaciones que cuentan con una estructura y recursos adecuados. Las obligaciones del RIA están siendo absorbidas por las áreas jurídica, de compliance, CISO o DPO, según el caso. Incluso se crean comités entre todos ellos. En definitiva, cualquier modelo de gobernanza para abordar estas normas está abierto; depende de la cultura de cada empresa y del refuerzo que tengan con firmas especializadas de apoyo externo”.

Priorizar el cumplimiento

Otro debate abierto es si se puede priorizar el cumplimiento de unas normas sobre otras. “Lo primero que hay que hacer es un mapping normativo, es decir, un análisis de todas las normas que definen el marco digital. Se trata de identificar cuáles afectan a cada organización, en qué artículos y en qué procesos. Una empresa de retail que tenga también una financiera y otra de viajes, como grupo empresarial, puede estar sujeta a normas distintas: DORA en el ámbito financiero, NIS2, RGPD si trata datos personales, el RIA si utiliza sistemas de IA, o el ENS si presta servicios a la Administración”.

En opinión de Saiz, “ese mapeo normativo es fundamental para saber realmente cuáles son nuestras prioridades dentro del marco legal. A partir de ahí, cada organización debe trabajar en cómo aterrizar cada uno de esos requerimientos jurídicos de forma concreta. El problema es que aún hay empresas que no saben qué parte del RIA les afecta, por poner un ejemplo, y eso es un riesgo importante. En este tipo de compañías, el tándem entre ciberseguridad, legal e innovación es fundamental y debe mantenerse en permanente diálogo, con apoyo de expertos externos cuando sea necesario”.

Para este experto en derecho tecnológico, es fundamental conocer cuanto antes el terreno legal que pisan las empresas: “El mundo sancionador en Europa está cobrando una fuerza importante. Cada sanción puede suponer millones de euros, además del efecto reputacional que implica una infracción o un ciberincidente. Es clave gestionar el riesgo regulatorio desde dentro y de forma proactiva. Es algo estratégico que las empresas deben saber manejar”.

NIS2 como el próximo gran reto

En cuanto al siguiente reto regulatorio, todo apunta a que será la trasposición de la Directiva NIS2 al marco normativo español. Una norma bastante exigente para empresas públicas y privadas, que ya están preparándose. “Desde ISMS Forum presentamos en su día alegaciones al anteproyecto de ley para su trasposición y hemos creado un manual para empresas y CISOs, debatido en algunos de los foros profesionales que venimos organizando durante el último año”, indica nuestro interlocutor.

Carlos Saiz recuerda que estos trabajos con NIS2 reafirman el espíritu fundacional de ISMS Forum, creada hace ya diecisiete años como asociación especializada en ofrecer soluciones globales en materia de seguridad de la información, en estrecha colaboración con CISOs y organizaciones, como socio estratégico. “Hemos puesto mucho esfuerzo y foco en NIS2 porque creemos que será un revulsivo en materia de ciberseguridad. NIS2 será a la ciberseguridad lo que el RGPD ha sido para la privacidad. Una norma clave, que afectará a muchas industrias y que conlleva obligaciones importantes”.

Conocer bien NIS2

Desde esa perspectiva, destaca que “era fundamental trabajar en la difusión de NIS2 como una norma con impacto directo en muchas organizaciones y en los CISOs. La norma deja clara la responsabilidad de la dirección de la empresa en caso de ciberincidentes, y obliga a las compañías a tener un control más exhaustivo de su cadena de suministros. Esto implica exigir a partners y proveedores medidas equivalentes para reducir los riesgos”.

Saiz señala también que “otro tema clave con NIS2 será la gestión de los incidentes de ciberseguridad. La norma propone que las compañías no solo estén preparadas para prevenir incidentes y actuar cuando ocurran, sino también que sepan notificar adecuadamente a las autoridades y fomentar la colaboración público-privada, minimizando el impacto de los ciberataques. No está de más entrenar periódicamente los protocolos de notificación para asegurar su eficacia”.

En cuanto a esa notificación, advierte que debe hacerse correctamente y en el momento adecuado para evitar sanciones: “Normas como DORA, NIS2, el ENS, RGPD o RIA imponen obligaciones de notificación ante diferentes autoridades, con plazos y formularios distintos. Por eso es crucial que las compañías tengan su framework normativo bien articulado y sepan a qué regulador dirigirse ante cada incidente”.

Conclusión

El cumplimiento normativo ya no es una opción, sino una necesidad estratégica. Como destaca Carlos Saiz, las empresas deben integrar innovación y regulación, anticiparse a los riesgos y contar con una gobernanza clara. Solo así podrán afrontar con garantías los desafíos que plantea la era digital y la inteligencia artificial.

Global Gold Sponsor

logo Atos
A10
logo_Acronis
ADVENS
Aiuken
Akamai
Armis
Avepoint
BigID Glosario
Bitdefender
BSI
cato
checkpoint-1421653472437
cisco-1421650965584
cloudflare1421692707520
comforte
logo_Cribl
corelight-1421708018278
crowdstrike-142x531699271338
logo-cyberark-pour-signaletiques--
cyberguru-1421683269126
cyberprooflogo-negro-011711383209
delinea
Deloitte
devo1421618475498
digit-142x531688728851
digital ai
Dordio & Associates Logo
elastic
entrust-1421665994898
Logo_ESET
extrahop
f5
fastly
forcepoint
formalize
fortinet1584959160
fujitsu
glueckkanja
group-ib
hashicorp
LOGO_Huawei
ibmsubir1520936809
ic-consult-1421709636627
inmersivelabs-1421650967812
infoblox-142x531698221380
insside-142x531694532390
Integrity360
Izertis
keyfactor_logo_charcoal
logo_Knowmad
KPMG
Kymatio
kyndryl_logo_R_Black_RGB
leet-security
mandiant
riskrecon-mastercard
microsoft1421636982759
mimecast
netskope1421542790367
logo_Neverhack
nextvision-1421678725138
okta-142x531690371671
onetrust
OpenText
logoox-Security
paloalto1421664436588
logo_Picus
ping-identity
primix-142x531690198289
qualys-subir1520939472
recorderfuture1421636531854
red-sift-142-21668078952
Rubrik
Sailpoint
samsung-subir14912155251502970957
logo_Salesforcepng
saviynt
Schwarz IT KG_LOGO
sectigo-142x531707909251
secure-it-1421679989183
security-scorecard-142x531696326865
semperis-1421677077532
sentinelone
sia1613034479
logo_Silverfort
smartfense
sosafe-142x531699271952
splunk1421636028052
spycloud-1421681117779
stormshield-1421681119821
symantec-142x531693480568
synack
logo_Synergy
telefonica tech
tenable-142x531690369729-1
Tier8
transmitsecurity
TRC
trustworks
logo_Upwind
wallix
logo-cytomic-142x531698911457
wiz-1421650968592
xm-cyber-142x531693291888
zepo
zscale

Síguenos la pista

Linkedin X-twitter Youtube Instagram

Estamos en

Calle Segre, 29 1ºB.
28002 Madrid – España
+34 91 563 50 62

+34 636 69 13 92

Close

Ventajas de ser socio

¿POR QUÉ HACERSE SOCIO DE ISMS FORUM?

  • Tendrás acceso gratuito a todos los eventos organizados por ISMS Forum, incluyendo la Jornada Internacional de Seguridad de la Información anual.
  • Contarás con descuentos especiales para matricularte en las actividades formativas organizadas por ISMS Forum, como cursos o seminarios.
  • Podrás darte de alta en el Registro de Profesionales Certificados de España y poner a disposición del mercado, si lo deseas, tus datos de contacto. El único requisito es poseer al menos alguna de las siguientes certificaciones:
    • CDPP, CCSP, CPCC, CAIP, CDPD
    • CISA, CISM, CISSP, CDPSE, CC
  • Recibirás la newsletter de la Asociación y tendrás acceso a la descarga gratuita de estudios y publicaciones fruto de la labor de los Grupos de Trabajo de ISMS Forum u otros de especial interés para el sector.
  • Gracias al networking podrías incrementar tu red de contactos e intercambiar experiencias con otros profesionales de la Seguridad de la Información que desarrollan su labor en empresas, administraciones públicas, universidades y centros de investigación, otras asociaciones y organismos de todos los sectores.
  • Podrás formar parte de los grupos de trabajo de las distintas iniciativas de ISMS Forum (Data Privacy Institute (DPI), Cloud Security Alliance España (CSA-ES), Cyber Security Center (CSC), Grupo de Inteligencia Artificial (GIA), y Cyber Resilien Centre (CRC), y participar directamente en el desarrollo de sus actividades.

Y ADEMÁS LAS EMPRESAS

  • Podrán hacer visible su compromiso con la Seguridad de la Información y materializar la Responsabilidad Social Corporativa.
  • Si eres empresa tendrás la capacidad para nombrar a 8 trabajadores de la empresa como socios de pleno derecho.
  • Si eres microempresa (empresas de menos de 10 trabajadores) podrás nombrar hasta 2 trabajadores como socios de pleno derecho.
  • Si eres una gran empresa tendrás la capacidad para nombrar a 24 trabajadores de la empresa como socios de pleno derecho

Si te haces socio de ISMS Forum, formarás parte de la mayor red activa de organizaciones y expertos comprometidos con la Seguridad de la Información en España.