Retos de 2026: La ciberseguridad en el centro del progreso digital

Se han publicado recientemente los resultados de la encuesta que la Asociación ISMS Forum realiza todos los años a los principales CISO´s y responsables de ciberseguridad de nuestro país preguntándoles cuáles son los aspectos que más les preocupan de cara al 2026.

En el top 4 de esa lista de retos para 2026 destacan la gestión de la Inteligencia Artificial, los aspectos regulatorios de ciberseguridad o “CyberCompliance”, la gestión de riesgo de terceros y la protección del dato y la soberanía digital.

Durante años, la ciberseguridad ha sido percibida en muchas organizaciones como una función técnica, reactiva y, en ocasiones, subordinada a otras prioridades de negocio. Sin embargo, el contexto de estos años se consolida en 2026 de manera clara: la ciberseguridad ha pasado a convertirse en una responsabilidad estratégica, regulatoria y de riesgo corporativo.

Los CISO´s afrontan en su agenda 2026 un escenario más complejo que nunca, donde confluyen la inteligencia artificial, una avalancha regulatoria, la fragilidad de las cadenas de suministro y el debate sobre la soberanía digital y la geoestrategia. A mi juicio estos son los motivos:

En primer lugar, la gestión del riesgo de la inteligencia artificial. El despliegue acelerado de sistemas basados en inteligencia artificial está transformando procesos, productos y modelos de negocio. Pero también está introduciendo una nueva categoría de riesgos que muchas organizaciones aún no saben cómo gobernar. En 2026, el reto ya no es si usar IA, sino cómo hacerlo de forma segura, ética y conforme a la regulación.

La función de ciberseguridad deberá ampliar su enfoque tradicional para incluir riesgos como el envenenamiento de datos, la manipulación de modelos, la fuga de activos intangibles a través de sistemas generativos, el uso indebido de datos de entrenamiento o la dependencia excesiva de proveedores de IA. A ello se suma el riesgo de que los propios atacantes avanzan a pasos agigantados utilizando IA para automatizar campañas más creíbles y difíciles de detectar.

Será clave definir en las empresas un adecuado modelo de Gobierno de IA donde las funciones de Ciberseguridad, Legal, Riesgos, DPO/Compliace, IT… estén bien coordinadas para desarrollar o desplegar sistemas de IA en las organizaciones.

En segundo lugar, el CyberCompliance. El panorama regulatorio europeo en materia de ciberseguridad alcanza en 2026 un nivel de madurez —y complejidad— sin precedentes. Normativas como DORA, NIS2, CER o el Reglamento de Inteligencia Artificial (RIA) ya no son proyectos futuros, sino obligaciones exigibles con impacto directo en la gobernanza de las organizaciones.

En España seguimos a la espera de la Ley de transposición de la Directiva NIS2, que será un paso trascendental para reforzar el papel de la alta dirección en impulso de la ciberseguridad en las organizaciones y supervisión de su cumplimiento.

El gran reto no será conocer la normativa, sino operacionalizarla, es decir, definir y mantener un adecuado mapa de CyberCompliance y pasar del cumplimiento documental a la protección, reacción y resiliencia reales en la amalgama de información, infraestructura, redes y servicios de cada empresa.

En tercer lugar, el third party compliance y la diligencia debida en la cadena de suministro. Los incidentes de los últimos años han demostrado que la seguridad de una organización es tan fuerte como la de sus proveedores. En 2026, la gestión del riesgo de terceros sigue siendo un proceso continuo y exigente, impulsado tanto por la realidad operativa como por la regulación.

Normativas como NIS2 o DORA elevan el listón de la diligencia debida, obligando a identificar, evaluar y supervisar a proveedores críticos, tecnológicos y no tecnológicos. Esto supone un desafío organizativo notable: inventariar dependencias, definir criterios homogéneos, exigir evidencias y gestionar relaciones contractuales más complejas.

En el 2026 es necesario hacer madurar este modelo de control de terceros, aplicando IA para acelerar y objetivar las evaluaciones de proveedores, y utilizando modelos de riesgo dinámicos, proporcionales y alineados con la criticidad real de cada tercero.

En cuarto lugar, la seguridad del dato y la soberanía digital. Europa ha movido ficha y el debate de la soberanía digital se ha puesto encima de la mesa de forma seria. La dependencia de las grandes tecnológicas, el nuevo tablero geopolítico, la presión regulatoria europea y las necesidades de las compañías en la protección de sus datos y sus negocios, son los ingredientes de un debate que nos llevará más allá de 2026.

Veremos muchas noticias e iniciativas en este año sobre las garantías de control y trazabilidad de los datos en los servicios Cloud, y es que la soberanía no implica aislamiento, sino capacidad de decisión informada y control efectivo sobre los activos digitales.

Como conclusión, es necesario entender la ciberseguridad como un habilitador del negocio, y no como un freno. En este 2026 ya no bastará con proteger sistemas; será imprescindible gestionar riesgos complejos, cumplir regulaciones exigentes y generar confianza en un entorno digital incierto.

* Carlos Alberto Saiz Peña, socio de Ecix Tech y vicepresidente de ISMS Forum.