Tendencias de cumplimiento de 2025

Introducción

En 2025, la ciberseguridad y el cumplimiento normativo se han convertido en prioridades estratégicas para las organizaciones de todo el mundo, trascendiendo los tradicionales procedimientos de verificación para reforzar la resiliencia y la confianza empresarial. Las ciberamenazas, las preocupaciones sobre la privacidad y las tecnologías emergentes están impulsando nuevas leyes y estándares a un ritmo acelerado. Paralelamente, las partes interesadas, desde inversores hasta consumidores, esperan que las organizaciones no solo protejan los datos y sistemas, sino que también demuestren una gobernanza ética y transparencia.

Este completo resumen explora las principales tendencias de cumplimiento normativo que definirán el año 2025, abarcando la protección y privacidad de datos, los mandatos de cifrado, la gobernanza de la IA, la divulgación de infracciones, la seguridad de la cadena de suministro, la gestión de identidades, la automatización del cumplimiento normativo y los desafíos en sectores críticos. El objetivo es proporcionar a los profesionales de la ciberseguridad, expertos en cumplimiento normativo y partes interesadas técnicas una visión clara del cambiante panorama global del cumplimiento normativo y perspectivas prácticas para afrontar el futuro.

Las regulaciones globales de protección de datos y privacidad evolucionan

Las regulaciones de protección de datos han seguido expandiéndose a nivel mundial, con más países y estados promulgando leyes de privacidad. A principios de 2025, 144 países han establecido leyes de protección de datos o de privacidad del consumidor, que cubren aproximadamente Entre el 79 y el 82% de la población mundialEsto representa un aumento drástico en tan solo los últimos cinco años. En Estados Unidos, la regulación de la privacidad está pasando de ser un fenómeno de un solo estado (la pionera CCPA/CPRA de California) a un mosaico de leyes estatales. El 42 % de los estados de EE. UU. (21 estados) ya han aprobado leyes integrales de privacidad del consumidor para 2025.

Es crucial que ocho nuevas leyes estatales de privacidad entren en vigor en 2025, incluyendo Delaware, Iowa, Nebraska y Nuevo Hampshire (todas el 1 de enero), seguidas de otras como Tennessee, Indiana, Montana, Oregón, Texas y otras que se implementarán más adelante en el año. Para finales de año, estas leyes duplicarán el número de estados con marcos de privacidad, del 16 % al 32 % del total, cubriendo aproximadamente al 43 % de la población estadounidense. Esta rápida expansión marca el inicio de una nueva era en la que la privacidad de datos será un requisito legal fundamental en gran parte de EE. UU., y no solo una preocupación centrada en California.

El RGPD y los marcos internacionales están madurando. En la UE, el hito Reglamento General de Protección de Datos (GDPR) sigue siendo un referente mundial y se está perfeccionando y aplicando rigurosamente. Los reguladores de la UE emitieron 1.2 millones de euros en multas en 2024 (una disminución del 33 % con respecto a 2023) solo por infracciones del RGPD, lo que demuestra la eficacia de su aplicación. Si bien los principios fundamentales del RGPD se mantienen, se está debatiendo la simplificación del cumplimiento para las pymes y otras mejoras para garantizar la eficacia de la ley.

Tras el Brexit, el Reino Unido está actualizando su propio régimen: el Proyecto de Ley de Protección de Datos e Información Digital (conocido como "RGPD del Reino Unido") se revisará en 2025 para ajustar los requisitos y reducir ciertas cargas, manteniendo al mismo tiempo altos estándares. Fuera de Europa, muchos países han introducido o reforzado sus leyes de privacidad: por ejemplo, la Ley de Protección de Datos Personales Digitales de la India (promulgada en 2023) entrará en vigor, y países como Brasil, Corea del Sur y Kenia contarán con estatutos de protección de datos nuevos o actualizados para 2025.

Según la ONU, más del 70 % de los países ya cuentan con legislación sobre privacidad de datos y otro 10 % está elaborando leyes, una adopción prácticamente global. Esto significa que las organizaciones que operan a nivel internacional se enfrentan a diversos requisitos (consentimiento, localización de datos, notificación de infracciones, derechos individuales, etc.) y deben mantenerse al día con las particularidades regionales.

Acción federal estadounidense y presiones globales para la alineación. A pesar de la avalancha de leyes estatales, EE. UU. aún carece de una única ley federal de privacidad. Sin embargo, la presión pública es alta. 72% de los estadounidenses creen que debería haber más regulación gubernamental sobre cómo las empresas manejan los datos personales, y más de la mitad de los votantes estadounidenses (en las encuestas) apoyan una ley de privacidad nacional unificada.

La ahora estancada Ley Estadounidense de Privacidad y Protección de Datos (ADPPA) mostró interés bipartidista en el Congreso; si bien no se aprobó, describió medidas con amplio apoyo público (por ejemplo, la prohibición de la venta de datos sin consentimiento, la minimización de datos y el derecho de acción privada). Esto indica que eventualmente podrían surgir normas federales para armonizar este conjunto de normas.

A nivel internacional, marcos como las directrices de privacidad de la OCDE y el sistema de Reglas Globales de Privacidad Transfronteriza (CBPR) están cobrando impulso, con el objetivo de superar las diferencias y facilitar los flujos de datos entre jurisdicciones mediante el reconocimiento mutuo. Cabe destacar que, en 2023, la UE y EE. UU. acordaron un nuevo Marco de Privacidad de Datos para permitir las transferencias transatlánticas de datos, sustituyendo así el Escudo de Privacidad, un avance crucial para las empresas multinacionales.

En Asia, también se están concretando marcos transfronterizos y acuerdos regionales. En general, la tendencia apunta hacia una mayor convergencia global en los principios de privacidad, aun cuando proliferan los detalles de cumplimiento local.

Implicaciones clave para las organizaciones:  El cumplimiento de la protección de datos en 2025 requiere una perspectiva verdaderamente global. Las empresas deben supervisar e implementar una gran variedad de requisitos, desde el estricto consentimiento del RGPD y los derechos de los interesados, hasta las leyes estatales que otorgan derechos como la exclusión voluntaria de ventas o la elaboración de perfiles de IA. Deben esperar actualizaciones más frecuentes y nuevas leyes, por ejemplo, Se registraron al menos 264 cambios regulatorios en materia de privacidad a nivel mundial en un solo mes (mayo de 2025), lo que pone de relieve lo rápido que evoluciona este espacio.

La aplicación de la ley se está intensificando no solo mediante multas, sino también mediante sentencias judiciales y la cooperación transfronteriza entre los reguladores. Las empresas deben invertir en programas de privacidad sólidos, como el mapeo de datos, la actualización de los avisos de privacidad, la habilitación de flujos de trabajo para solicitudes de derechos de los consumidores y la aplicación de un enfoque de "privacidad desde el diseño" para los nuevos productos. La creciente concienciación y preocupación pública sobre la privacidad (la mayoría en muchos países está preocupada por el uso de sus datos) implica que el cumplimiento normativo también es clave para mantener la confianza y la reputación de los clientes. En resumen, la protección de los datos personales ya no es solo un requisito legal, sino que forma parte de las operaciones principales y de la integridad de la marca.

Cifrado y cumplimiento criptográfico

El cifrado pasa de ser una práctica recomendada a un requisito básico. A medida que aumentan las ciberamenazas, el cifrado de datos confidenciales se ha convertido en un elemento central de las estrategias de cumplimiento normativo y mitigación de riesgos. Las organizaciones reconocen cada vez más que un cifrado robusto, tanto para datos en reposo como en tránsito, puede reducir drásticamente el impacto de las vulneraciones. Estudio de tendencias globales de cifrado de 2025 descubrió que el 72% de las organizaciones que implementaron una estrategia de cifrado empresarial experimentaron impactos reducidos por violaciones de datos, lo que destaca cuán efectivo es el cifrado para proteger los datos.

Por el contrario, las empresas que carecen de protecciones de cifrado sufren infracciones más graves; un análisis señaló que las organizaciones que cuentan con un cifrado integral implementado son 70% menos de probabilidades de sufrir una importante filtración de datos en comparación con aquellos que no tienen cobertura de cifrado completa.

Los reguladores están tomando nota. Muchas leyes de protección de datos exigen, explícita o implícitamente, el cifrado de datos personales. El RGPD, por ejemplo, menciona el cifrado como una medida de protección recomendada (y las notificaciones de infracciones pueden evitarse si los datos robados están cifrados). En EE. UU., las leyes estatales y las regulaciones de sectores (como el financiero y el sanitario) exigen cada vez más el cifrado de ciertos datos.

Incluso los regímenes históricamente indulgentes se están endureciendo: se propone una actualización para 2025 de la Constitución de Estados Unidos HIPAA La Norma de Seguridad haría obligatorio el cifrado de la información sanitaria electrónica protegida (antes era una implementación "direccionable"). De igual manera, la Directiva NIS2 de la UE incluye las "políticas para el uso de la criptografía y el cifrado" como medida de seguridad obligatoria para los servicios esenciales. En resumen, lo que antes era opcional ahora se espera que cifre sus datos o se enfrente a consecuencias de cumplimiento normativo.

Principales conclusiones del Informe de cifrado de 2025

El informe Global Encryption Trends de este año (y estudios relacionados) también revelan varios temas emergentes en el cumplimiento criptográfico:

• La adopción del cifrado está en su nivel más alto: La adopción del cifrado en las empresas se ha disparado, y cada vez más organizaciones lo aplican de forma sistemática en bases de datos, aplicaciones y servicios en la nube. Una encuesta del Instituto Ponemon indicó que el año pasado se registró el mayor aumento en la implementación del cifrado en más de una década, lo que refleja tanto la presión regulatoria como la atención de los directivos a la seguridad de los datos. Sin embargo, persisten los desafíos en la gestión de claves de cifrado, el descubrimiento de todos los datos confidenciales para cifrar y la integración del cifrado en entornos de nube híbrida.
• Automatización e IA en la gestión de claves: Alrededor del 58 % de las grandes empresas ahora utilizan IA o automatización avanzada para la gestión de claves de cifrado y las tareas de cumplimiento normativo. Esto incluye el uso del aprendizaje automático para rotar claves, detectar accesos anómalos a módulos criptográficos y optimizar la implementación del cifrado. La automatización ayuda a abordar la complejidad de gestionar miles de claves y certificados, un área que las auditorías destacan como una debilidad común. Esta tendencia también se relaciona con agilidad criptográficaLas organizaciones están invirtiendo en herramientas para actualizar o intercambiar automáticamente algoritmos y claves de cifrado cuando sea necesario (por ejemplo, en respuesta a una vulneración o a la desuso de un algoritmo).
• Preparación para la criptografía poscuántica (PQC): Un tema destacado en 2025 es la preparación para la era de la computación cuántica. Si bien aún no existen potentes computadoras cuánticas capaces de descifrar el cifrado actual (como RSA o ECC), la amenaza de "recolectar ahora, descifrar después" se cierne sobre nosotros. En la encuesta de Thales sobre Amenazas de Datos 2025, el 63 % de los profesionales de seguridad señaló que la "futura vulnerabilidad del cifrado" causada por ataques cuánticos es una preocupación importante, y el 58 % teme que los adversarios recopilen datos cifrados ahora para descifrarlos cuando lleguen las capacidades cuánticas.
• Los organismos de normalización están respondiendo: NIST lanzó nuevos estándares de cifrado post cuántico (por ejemplo, CRYSTALS Kyber) y una hoja de ruta de transición en 2024, recomendando eliminar gradualmente RSA/ECC para 2030 y cesar su uso por completo para 2035. Las empresas están comenzando a actuar. Más de la mitad de las organizaciones (alrededor del 57-60%) informan que están creando prototipos o evaluando algoritmos PQC. en 2025, y casi la mitad está evaluando su inventario criptográfico actual para identificar dónde se necesitarán actualizaciones. Además, un 45% dicen que se están centrando en mejorar agilidad criptográfica, garantizando que puedan intercambiar algoritmos fácilmente cuando sea necesario. Los reguladores podrían preguntar pronto sobre la preparación cuántica en las evaluaciones de riesgos, por lo que los pioneros buscan estar preparados. En algunas jurisdicciones, las agencias gubernamentales tienen mandatos para inventariar y realizar la transición de criptomonedas dentro de plazos establecidos, lo que indica qué podría eventualmente llegar al sector privado.
• Cifrado y soberanía digital: A medida que proliferan las leyes de protección de datos, el cifrado se considera una herramienta para facilitar el cumplimiento de los requisitos de residencia y soberanía de los datos. El informe de Thales destaca un creciente énfasis en “quién controla los datos y las claves de cifrado”. Con El 76% de las empresas utilizan múltiples proveedores de nube públicaLas organizaciones están ejerciendo control mediante técnicas como el cifrado BYOK (traiga su propia clave) y HYOK (tenga su propia clave), donde la empresa conserva la custodia de las claves de cifrado en lugar del proveedor de la nube. Esto garantiza que, incluso si los datos se almacenan en el extranjero o en la nube, la empresa puede evitar el acceso no autorizado (incluso por parte de administradores de la nube o gobiernos) reteniendo las claves.

En 2025, El 42% de las organizaciones identificaron el cifrado sólido y la gestión de claves como facilitadores clave de los objetivos de soberanía digital. (por ejemplo, garantizar el cumplimiento de las normas de transferencia de datos de la UE). Se prevén más soluciones que permitan a las empresas localizar claves, utilizar módulos de seguridad de hardware (HSM) o emplear técnicas como encriptación homomórfica cumplir con los requisitos jurisdiccionales y al mismo tiempo aprovechar los servicios globales.

Cumplimiento normativo para criptografía

Las regulaciones son cada vez más estrictas en cuanto a los estándares criptográficos. Por ejemplo, muchas leyes y estándares de la industria ahora especifican el uso de... algoritmos de cifrado fuertes (p. ej., AES256, TLS 1.3) y la desactualización de protocolos obsoletos. La Regla de Salvaguardias de la Comisión Federal de Comercio de EE. UU. y diversas leyes estatales exigen el cifrado de la información personal, ya sea por ley o como estándar de cuidado. Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) 4.0 (vigente a partir de marzo de 2025) exige el cifrado de los datos del titular de la tarjeta tanto en tránsito como en reposo, con requisitos técnicos específicos.

En el ámbito sanitario, como se ha señalado, las próximas normas eliminarían la flexibilidad y exigirían el cifrado y la autenticación multifactor (MFA) de forma absoluta para todos los sistemas que gestionan datos de pacientes. Los gobiernos también están generando expectativas: la Casa Blanca estadounidense emitió directivas para que las agencias federales adopten la criptografía resistente a la tecnología cuántica en los próximos años, y la Agencia Europea de Ciberseguridad (ENISA) cuenta con directrices para los controles criptográficos de vanguardia en virtud de la directiva NIS2.

Las organizaciones deberían seguir de cerca estos acontecimientos. El incumplimiento puede ser costoso Además del riesgo de vulneración, el incumplimiento de los requisitos de cifrado puede conllevar multas o responsabilidades legales. Por otro lado, implementar un cifrado robusto no solo cumple con las obligaciones de cumplimiento, sino que también puede reducir las obligaciones de notificación de vulneraciones (si los datos están correctamente cifrados, muchas leyes eximen el incidente de la divulgación pública).

A partir de 2025, el cifrado es un imperativo de cumplimiento normativo y un factor diferenciador para las empresas, demostrando a sus clientes que sus datos están seguros. Las empresas deben realizar auditorías de cifrado, garantizar una gestión adecuada de las claves (con separación de funciones y copias de seguridad) y mantenerse al día sobre las políticas criptográficas (por ejemplo, las restricciones gubernamentales sobre el uso del cifrado o los algoritmos permitidos para ciertas exportaciones de datos).

Regulaciones sobre gobernanza de la IA y transparencia algorítmica

Los reguladores abordan la revolución de la IA. Inteligencia Artificial (AI) Ha experimentado una adopción explosiva, desde el aprendizaje automático en la analítica empresarial hasta los modelos de IA generativa que transforman los procesos de negocio. Esta ola ha generado demandas urgentes de gobernanza para garantizar que la IA se utilice de forma responsable, justa y segura. En 2025, presenciaremos el despliegue de... Primera regulación integral de IA del mundo.

La Unión Europea Ley de IA Se finalizó como Reglamento (UE) 2024/1689 y se implementará gradualmente durante los próximos años. La Ley de IA de la UE adopta un enfoque basado en el riesgo: prohíbe directamente ciertos usos inaceptables de la IA (por ejemplo, puntuación social, técnicas de explotación) a partir de... 2025 de febrero para algunas disposiciones e impone obligaciones estrictas a los sistemas de IA de “alto riesgo” (como los utilizados en infraestructura crítica, decisiones de empleo, calificación crediticia, dispositivos médicos, etc.).

Los proveedores e implementadores de IA de alto riesgo deberán implementar evaluaciones de conformidad, transparencia, supervisión humana y gestión sólida de riesgos para sus sistemas. Por ejemplo, los sistemas de IA utilizados en el reclutamiento o la aprobación de préstamos deben ser probados para detectar sesgos y sus resultados deben ser rastreables. La Ley también exige transparencia Para la IA en general: los usuarios deben estar informados cuando interactúan con una IA (en lugar de un humano), y el contenido generado por IA (como los deepfakes) debe etiquetarse como tal en muchos casos. Algunos requisitos entran en vigor en 2025 (por ejemplo, ciertas normas de transparencia y códigos de conducta voluntarios), mientras que el cumplimiento total de los sistemas de alto riesgo será exigido para... 2026 ó 2027 después de los períodos de implementación.

La Ley de IA de la UE es innovadora y constituye la primer gran libro de reglas de IA y se espera que influya en las regulaciones a nivel mundial de manera similar a cómo el RGPD influyó en las leyes de privacidad.

En Estados Unidos, aún no existe una sola ley sobre IA, pero los reguladores están utilizando los poderes y las directrices existentes para controlar la IA. FTC (Comisión Federal de Comercio) ha advertido que tratará los resultados de IA sesgados o engañosos como posibles infracciones de la legislación de protección al consumidor (por ejemplo, si un algoritmo de decisión de IA discrimina injustamente en la concesión de préstamos, podría considerarse una práctica desleal). La Comisión para la Igualdad de Oportunidades en el Empleo (EEOC) de EE. UU. también ha advertido a los empleadores que el uso de herramientas de contratación de IA con un impacto diferente podría infringir las leyes contra la discriminación.

También vemos que en Estados Unidos aparecen leyes específicas, por ejemplo, la Ley “DÉJALA” Otros proyectos de ley en el Congreso buscan criminalizar ciertas falsificaciones maliciosas (en particular, las falsificaciones sexualmente explícitas o aquellas que incitan a la violencia). Otro proyecto de ley exigiría que el contenido generado por IA tenga una marca de agua o incluya una declaración. Si bien estos proyectos no se han aprobado hasta 2025, indican una preocupación bipartidista sobre el uso indebido de la IA.

A nivel estatal, la ciudad de Nueva York implementó una ley única en su tipo (vigente entre 2023 y 2024) que exige que las empresas realicen auditorías de sesgo en herramientas de contratación de IA y notificar a los candidatos cuando se utilizan IA o algoritmos en las decisiones de contratación. Otras jurisdicciones están considerando medidas similares de rendición de cuentas algorítmica, especialmente en contextos de empleo y crédito.

Mandatos de divulgación de ciberseguridad y notificación de incidentes

La divulgación obligatoria de infracciones va en aumento. Una de las tendencias de cumplimiento más claras en ciberseguridad es la transición hacia divulgación obligatoria de incidentes cibernéticosAtrás quedaron los días en que las empresas podían gestionar las infracciones con discreción; los reguladores ahora exigen informes oportunos a las autoridades, los inversores y las personas afectadas. En Estados Unidos, la Comisión de Bolsa y Valores (SEC) implementó una norma histórica en 2023 (que se implementará gradualmente en 2024) que exige a las empresas que cotizan en bolsa... divulgar al mercado incidentes materiales de ciberseguridad dentro de los 4 días hábiles de determinar que un incidente es material.

A partir de finales de 2023, las empresas deben presentar un informe 8K que detalle la naturaleza y el impacto de un ciberincidente importante, por ejemplo, una filtración de datos significativa o una interrupción del sistema que los inversores consideren importante. El único retraso permitido es si el Fiscal General de los Estados Unidos certifica que la divulgación inmediata representaría un grave riesgo para la seguridad nacional o pública. Para finales de 2025, incluso las empresas de menor tamaño que presentan informes estarán cumpliendo con estos requisitos de la SEC.

Además, la SEC ahora exige la divulgación periódica de información sobre la gestión de riesgos cibernéticos, la gobernanza y la supervisión del consejo de administración de una empresa en los informes anuales 10K. Esto incluye identificar qué comité del consejo es responsable de la ciberseguridad. De hecho, El porcentaje de juntas directivas del S&P 500 que carecían de un comité de ciberseguridad designado se redujo del 15 % en 2021 a solo el 5 % en 2024 después de estas reglas. El 95 % ahora asigna explícitamente la supervisión cibernética a nivel de junta., en parte debido al énfasis de la SEC en la responsabilidad de la gobernanza.

Informes rápidos de incidentes a reguladores y partes interesadas: Más allá de la norma de la SEC centrada en los inversores, los gobiernos están imponiendo la obligación de informar sobre infracciones en sectores críticos. Estados Unidos promulgó la... Ley de Notificación de Incidentes Cibernéticos para Infraestructuras Críticas (CIRCIA) En 2022, y se espera que las normas de implementación entren en vigor para octubre de 2025. CIRCIA exigirá a las empresas de los sectores de infraestructura crítica designados (por ejemplo, energía, atención médica, finanzas, transporte y otros vitales para la seguridad nacional) que Informar incidentes cibernéticos importantes a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional dentro de las 72 horasy pagos de ransomware en 24 horas.

Nuevas normas de divulgación específicas de la industria También están surgiendo nuevas tecnologías. El Departamento de Defensa de EE. UU. exige ahora a los contratistas de defensa que informen con prontitud sobre los incidentes cibernéticos que afecten la información del Departamento de Defensa, o se arriesgan a perder contratos. Los reguladores estatales se están sumando; por ejemplo, el Reglamento de Ciberseguridad del Departamento de Servicios Financieros de Nueva York (NYDFS) exige a las instituciones financieras reguladas que notifiquen al NYDFS sobre ciertos eventos cibernéticos en un plazo de 72 horas. En el ámbito sanitario, la HIPAA exige desde hace tiempo que las filtraciones de datos sanitarios que afecten a más de 500 personas se notifiquen al HHS y al público en un plazo de 60 días; ahora, la tendencia apunta a una notificación aún más rápida y una mayor transparencia (algunas propuestas de legislación federal limitarían los plazos de notificación de filtraciones sanitarias).

Divulgación pública y comunicación: Otro aspecto es la divulgación al público y a las personas afectadas. Leyes de privacidad como el RGPD exigen que, si se produce una vulneración de datos personales y existe un alto riesgo para las personas, se les notifique sin demora indebida. Muchas de las nuevas leyes estatales de privacidad en EE. UU. también contienen disposiciones sobre notificación de vulneraciones o se basan en leyes estatales vigentes sobre vulneraciones (que suelen exigir la notificación a los residentes en un plazo de 30 a 60 días tras el descubrimiento, con algunas variaciones). Como resultado, las empresas sufren daños a su reputación si no gestionan adecuadamente las comunicaciones sobre vulneraciones; la demora o la ofuscación pueden conllevar multas regulatorias, además del incidente en sí.

Por ejemplo, en 2023, varias empresas fueron multadas por los reguladores europeos por no notificar a sus clientes sobre las infracciones a tiempo. En 2025, cuando la SEC exija la divulgación de incidentes importantes, veremos a más empresas hacer declaraciones públicas mediante presentaciones, lo que a su vez podría desencadenar demandas de inversores o caídas en el precio de las acciones si el incidente es grave. Esto crea un nuevo incentivo para garantizar unas ciberdefensas sólidas: el mercado penalizará directamente a las empresas que sufran infracciones, además de las sanciones regulatorias.

La ciberseguridad como cuestión de gobernanza y cumplimientoEstos requisitos de divulgación obligan a los equipos ejecutivos y a las juntas directivas a participar directamente en la supervisión de la ciberseguridad. Dado que un incidente grave debe notificarse y se hará público rápidamente, las juntas directivas solicitan: ¿Estamos preparados para manejar una situación así? incumplimiento? El cumplimiento ahora significa tener no sólo salvaguardas técnicas sino también procesos claros de respuesta a incidentes, rutas de escalamiento interno y marcos de decisión para lo que es “material”.

Curiosamente, el requisito de la norma de la SEC de revelar cómo la junta directiva supervisa el riesgo cibernético ha llevado a muchas empresas a mejorar su estructura de gobernanza (por ejemplo, estableciendo un comité de riesgo cibernético o agregando el tema cibernético al estatuto del comité de auditoría/riesgo). Casi El 77% de las grandes empresas estadounidenses afirman ahora que la ciberseguridad es explícitamente una responsabilidad del comité de auditoría, frente a solo el 25% en 2019. Un cambio drástico en pocos años. Esto significa que más directores se están capacitando en ciberseguridad, y las empresas están realizando evaluaciones y simulacros de ciberseguridad a nivel de junta directiva.

Preparándose para la nueva normalidad: Para cumplir con estos mandatos, las organizaciones deben asegurarse de detectar incidentes rápidamente (no se puede reportar lo que se desconoce). Esto implica sólidas capacidades de monitoreo y detección de amenazas. Deben establecer criterios para determinar qué constituye un incidente reportable (impacto significativo, datos comprometidos, etc.) de acuerdo con la legislación aplicable.

Contar con un plan de respuesta a incidentes que incluya los pasos de notificación es crucial; por ejemplo, quién contacta a los reguladores, quién redacta las declaraciones públicas y cómo obtener información precisa bajo presión. Muchas empresas también están contratando seguros cibernéticos, lo que a menudo exige también la notificación a la aseguradora dentro de plazos estrictos. Se debe hacer hincapié en la transparencia y la precisión; varios reguladores han indicado que, si bien los informes iniciales pueden ser escasos, esperan un seguimiento oportuno a medida que se obtiene más información.

Integración del cumplimiento con una gobernanza más amplia

La ciberseguridad se suma a la agenda ESG. En 2025, la ciberseguridad y la protección de datos ya no se consideran cuestiones puramente técnicas, sino que ahora forman parte integral de la ASG (ESG) Consideraciones para las organizaciones. El cumplimiento ESG se centra tradicionalmente en la sostenibilidad ambiental, la responsabilidad social y la ética del gobierno corporativo. La ciberseguridad se ha abierto paso en esta conversación bajo la "Gobernancia" Pilar (y posiblemente el pilar "Social", al considerar la privacidad como un derecho del consumidor). Inversores, agencias de calificación y reguladores evalúan la gestión de los riesgos cibernéticos por parte de las empresas como indicador de buena gobernanza.

En una encuesta reciente, casi 4 de cada 5 inversores (79 %) afirmaron que los consejos de administración deberían demostrar experiencia en ciberseguridad (así como en riesgos climáticos y otros riesgos emergentes) y detallar sus esfuerzos para mitigar dichos riesgos. En otras palabras, las partes interesadas esperan que la alta dirección trate el riesgo cibernético al mismo nivel que los riesgos financieros o estratégicos. Este es un cambio importante: hace una década, la ciberseguridad rara vez se incluía en los informes anuales o en las conversaciones con los inversores, mientras que ahora una brecha importante puede destruir el valor de las acciones y la confianza de los accionistas de la noche a la mañana, algo que los inversores reconocen.

Factores regulatorios en el ámbito ESG: Las nuevas regulaciones en el ámbito ESG incorporan implícitamente la ciberseguridad y la privacidad. La UE Directiva de Informes de Sostenibilidad Corporativa (CSRD)A partir de 2025, para las grandes empresas, se requiere una divulgación exhaustiva de información sobre gobernanza y gestión de riesgos, que incluiría cómo las empresas gestionan riesgos como la ciberseguridad para garantizar la continuidad y la resiliencia del negocio. Las Normas Europeas de Información sobre Sostenibilidad (ESRS), conforme a la CSRD, exigen explícitamente a las empresas que informen sobre cuestiones de "conducta empresarial". Las prácticas de seguridad y privacidad de datos pueden incluirse en este contexto como factores sociales y de gobernanza.

Además, regulaciones como la de la UE Ley de resiliencia operativa digital (DORA) Para las entidades financieras, si bien se trata principalmente del riesgo cibernético/operativo, también se conecta con ESG al enfatizar la resiliencia operativa y los impactos de las disrupciones en las partes interesadas (la resiliencia se considera cada vez más como un problema de sostenibilidad; una empresa no puede ser sostenible si sufre violaciones o interrupciones constantemente).

Mientras tanto, Normas de divulgación climática de la SEC (aunque actualmente en suspenso) han advertido a las juntas directivas de que la divulgación exhaustiva de riesgos se está convirtiendo en la norma; muchos creen que la divulgación de riesgos cibernéticos podría ser el siguiente punto en la agenda de la SEC, más allá de la norma de notificación de incidentes. Incluso sin una normativa explícita, la guía actual de la SEC exige que los riesgos cibernéticos materiales se divulguen en los informes anuales si pudieran afectar a los inversores.

Desde un la responsabilidad social Desde una perspectiva ambiental, la protección de los datos de los clientes es una cuestión ESG. Las grandes filtraciones de datos pueden perjudicar a los clientes (robo de identidad, invasión de la privacidad), por lo que se evalúa a las empresas en función de su capacidad para proteger los datos, de forma similar a como se evaluaría la seguridad de sus productos. Las agencias de calificación que ofrecen puntuaciones ESG suelen incluir la privacidad y la seguridad de los datos como un subfactor en la puntuación "Social" o "Gobernanza".

Por ejemplo, las calificaciones ESG de MSCI y Sustainalytics incorporan si una empresa ha sufrido recientemente filtraciones de datos o multas por violaciones de la privacidad, y qué políticas de seguridad de la información ha implementado. Por lo tanto, una buena ciberseguridad se recompensa con mejores puntuaciones ESG; por el contrario, una filtración o un incumplimiento del cumplimiento normativo pueden perjudicar una calificación ESG.

En resumenLa tendencia para 2025 es que El cumplimiento de la ciberseguridad no está aisladoForma parte de la narrativa ESG más amplia. Las organizaciones que destacan en esta área consideran la ciberseguridad como un elemento fundamental del gobierno corporativo, informan abiertamente sobre su postura y mejoras en materia de seguridad, y consideran la protección de datos como un elemento central de su responsabilidad social. Esto no solo satisface las nuevas exigencias de cumplimiento normativo, sino que también resulta atractivo para inversores y clientes que valoran cada vez más la confianza digital como un activo.

Cumplimiento de la gestión de riesgos de la cadena de suministro y de terceros

El riesgo cibernético de terceros bajo escrutinio: Los incidentes de alto perfil de los últimos años (desde la puerta trasera de SolarWinds hasta las filtraciones de datos a través de contratistas de HVAC) han enseñado a los reguladores que la seguridad de una empresa depende de su eslabón más débil, a menudo un proveedor o prestador de servicios. En 2025, los requisitos de cumplimiento se centrarán en... ciberseguridad de la cadena de suministroSe espera que las organizaciones gestionen los riesgos no solo dentro de sus propias instalaciones, sino en una red de proveedores, proveedores de nube, proveedores de software y socios.

Según una encuesta global a CISOs, un impresionante 88% de las organizaciones están preocupadas por los riesgos cibernéticos derivados de su cadena de suministro, y con razón: más del 70% sufrió un incidente de ciberseguridad significativo originado por un tercero durante el último año. Estos pueden incluir brechas de seguridad causadas por actualizaciones de software comprometidas, robo de credenciales de proveedores o robo de datos de un socio menos seguro.

A pesar de la preocupación, la misma encuesta reveló una brecha peligrosa: menos de la mitad de las organizaciones monitorean al menos al 50% de sus proveedores para detectar problemas de ciberseguridad. En otras palabras, la visibilidad del riesgo de terceros es deficiente. Los reguladores detectan esta brecha y están respondiendo imponiendo prácticas de gestión de riesgos de terceros (TPRM) más rigurosas.

Normativa que exige la seguridad en la cadena de suministro: La Directiva NIS2 de la UE es un excelente ejemplo de codificación de las obligaciones de seguridad de la cadena de suministro. La NIS2, que, como se ha mencionado, se aplica a una amplia gama de entidades críticas e importantes, obliga a una gestión integral de riesgos de la cadena de suministro (ya no es solo una guía). Las empresas sujetas a la NIS2 deben identificar y evaluar los riesgos cibernéticos Asociado con cada proveedor y proveedor de servicios digitales, implementar controles de seguridad adecuados basados ​​en dichas evaluaciones y monitorear continuamente los riesgos de los proveedores. Esto obliga a las organizaciones a contar con un programa de evaluación de seguridad de proveedores.

Además, la NIS2 enfatiza la responsabilidad de los proveedores y espera que las organizaciones transmitan los requisitos de ciberseguridad a los proveedores mediante contratos, establezcan expectativas de seguridad claras y realicen auditorías periódicas a los proveedores. De hecho, el considerando 85 de la NIS2 sugiere que los principales proveedores podrían ser considerados corresponsables si su negligencia provoca incidentes. Este es un avance significativo: la era de las acusaciones mutuas está llegando a su fin, y tanto clientes como proveedores pueden compartir la responsabilidad por las fallas de seguridad. La NIS2 también exige la coordinación con los proveedores durante la respuesta a incidentes, lo que significa que es necesario contar con canales de comunicación listos para cuando un incidente involucre a un tercero.

En el sector financiero, la Ley de Resiliencia Operativa Digital (DORA) de la UE, vigente desde enero de 2025, exige de forma similar a los bancos y entidades financieras que gestionen el riesgo de terceros en materia de TIC. La DORA obliga a las empresas a inventariar a sus proveedores de TIC críticos, evaluar los riesgos de la externalización y garantizar disposiciones contractuales de seguridad y notificación de incidentes. También otorga a los reguladores la facultad de supervisar a los proveedores de tecnología críticos (por ejemplo, los proveedores de nube que prestan servicios a bancos podrían ser designados y supervisados ​​directamente). El Reino Unido y otras jurisdicciones están considerando normas similares, en las que los proveedores de nube y tecnología para bancos podrían estar sujetos a regulación debido a la preocupación por el riesgo sistémico.

Reglas de la cadena de suministro de software y hardware: Otra dimensión es la seguridad de los productos: leyes como la de la UE Ley de Resiliencia Cibernética (CRA) (adoptada en 2024 y con entrada en vigor en 2027) exigirá que los fabricantes de productos digitales (software, dispositivos IoT, etc.) incorporen ciberseguridad y proporcionen mecanismos de divulgación de vulnerabilidades. Si bien la CRA entrará en vigor en un par de años, su presencia influye en la estrategia de cumplimiento normativo actual, especialmente para cualquier empresa que venda tecnología en Europa.

Básicamente, indica que los productos inseguros son productos que no cumplen con las normas. En EE. UU., se está implementando un nuevo etiquetado de ciberseguridad para IoT ("Cyber ​​Trust Mark") para que los consumidores puedan identificar qué dispositivos cumplen con ciertos criterios de seguridad. Los gobiernos también han prohibido o restringido la participación de ciertos proveedores de alto riesgo en las cadenas de suministro por razones de seguridad (por ejemplo, la prohibición de equipos de telecomunicaciones chinos como Huawei en redes críticas). El cumplimiento ahora implica garantizar que ninguno de los proveedores esté en listas de prohibidos y que no se estén utilizando componentes con problemas de seguridad conocidos.

Las mejores prácticas de gestión de riesgos de terceros (TPRM) se están volviendo obligatorias. Muchas organizaciones han implementado programas de TPRM que incluyen cuestionarios, auditorías y estándares contractuales. Ahora, estos se están consolidando en las obligaciones de cumplimiento. Como se mencionó, NIS2 y otros esperan ver requisitos de seguridad en los contratos, lo que significa que los equipos de compras y legales deben incluir cláusulas para aspectos como el manejo de datos, la notificación de incidentes (por ejemplo, exigir a un proveedor que le notifique dentro de X horas si tiene una infracción), el derecho a auditoría y, posiblemente, certificaciones mínimas de seguridad (como ISO 27001 o SOC 2).

Los estándares gubernamentales e industriales exigen cada vez más la monitorización continua de la seguridad de los proveedores, no solo una verificación anual. Dado que solo el 26 % de las organizaciones integran actualmente la respuesta a incidentes de los proveedores, este es un área en crecimiento. Se están adoptando herramientas automatizadas que analizan la postura cibernética externa de los proveedores (mediante servicios de calificación, etc.) para cumplir con las expectativas de monitorización continua.

Implicaciones para los programas de cumplimiento: Las empresas deben mejorar sus evaluaciones de riesgos de terceros antes de que los reguladores las obliguen. Esto implica catalogar a todos los proveedores y socios críticos, clasificarlos por nivel de riesgo (por ejemplo, quién tiene acceso a datos o sistemas sensibles) y realizar la debida diligencia a cada uno. Esta diligencia puede abarcar desde el envío de un cuestionario de seguridad detallado hasta la revisión de sus informes de auditoría y la realización de evaluaciones in situ para los más críticos.

Muchas empresas exigen ahora a sus proveedores certificaciones o evaluaciones de seguridad, por ejemplo, un proveedor de nube con un informe SOC 2 Tipo II o una certificación ISO 27001 para ofrecer garantía. También es prudente estar al tanto de las noticias y la información sobre amenazas para detectar posibles infracciones en sus proveedores, ya que a veces se entera de un problema por los medios de comunicación antes de que el proveedor le notifique.

Otro paso clave es actualizar los contratos y garantizar que tanto los nuevos como las renovaciones incluyan cláusulas de ciberseguridad. Por ejemplo, una cláusula que establezca que el proveedor mantiene un programa de seguridad mínimo, cumple con las normas y leyes pertinentes, notifica los incidentes en un plazo de, por ejemplo, 48 horas, coopera en las investigaciones y, posiblemente, ofrece una indemnización por incidentes de seguridad. Estas medidas contractuales no solo lo acercan al cumplimiento normativo (y se alinean con leyes como NIS2), sino que también lo protegen en caso de problemas.

Gestión de identidad y acceso y mandatos de confianza cero

La gestión de identidades y accesos (IAM) como piedra angular del cumplimiento. Muchos marcos y regulaciones de ciberseguridad priorizan ahora los controles de IAM como nunca antes. El razonamiento es simple: la mayoría de las brechas de seguridad implican credenciales comprometidas o un abuso de acceso excesivo. En 2025, prácticamente todas las principales regulaciones o estándares cibernéticos incluyen requisitos de autenticación robusta y gobernanza del acceso.

Por ejemplo, la directriz Directiva NIS2 de la UE ordena explícitamente el uso de autenticación multifactor (MFA) "Cuando corresponda" como control de referencia para las entidades afectadas. También exige controles de acceso estrictos y una revisión periódica de las cuentas.

Asimismo, los cambios propuestos a las Normas de Seguridad HIPAA en el sector de salud de EE. UU. harán que la MFA sea obligatoria para cualquier acceso a los sistemas de datos de pacientes y requerirán procedimientos formales de verificación de identidad y autorización para los miembros del personal de atención médica.

Estas medidas reflejan lo que ya ha sido la mejor práctica: Autenticación multifactorial Ahora es un requisito obligatorio en muchas industrias. Por ejemplo, los estándares de la Industria de Tarjetas de Pago (PCI) exigen la autenticación multifactor (MFA) para administradores y acceso remoto; la norma cibernética bancaria del Departamento de Servicios Financieros del Estado de Nueva York (NYDFS) exige la MFA para cualquier acceso a datos confidenciales; y las aseguradoras cibernéticas suelen exigir la MFA como condición para la cobertura. Los reguladores han declarado explícitamente que los inicios de sesión de un solo factor (solo con contraseña) para acceso privilegiado o confidencial ya no son aceptables.

Mandatos específicos para los controles de IAM

Una tendencia clara es convertir lo que solían ser recomendaciones en requisitos:

• Autenticación multifactor (MFA): Como se ha señalado, la MFA es obligatoria o está fuertemente implícita en muchas regulaciones actuales. Por ejemplo, La décima medida de referencia de NIS2 enumera específicamente el uso de soluciones de autenticación multifactor o continua Para acceder a sistemas sensibles. La actualización propuesta de HIPAA exigiría la MFA para administradores y acceso remoto a sistemas de datos de salud. La orden ejecutiva del presidente de EE. UU. de 2021 exigió la MFA en todos los sistemas federales, y muchas leyes estatales (como las recientes leyes de seguridad de datos de seguros basadas en el modelo NAIC) exigen la MFA para el acceso a información no pública. En la práctica, los reguladores esperan que la MFA esté presente en todas partes: una encuesta reveló que implementar la MFA puede prevenir el 99.9 % de los ataques de vulneración de cuentas, una estadística que suelen citar las agencias de seguridad. Por lo tanto, los auditores de cumplimiento ahora preguntan con frecuencia: "¿Tiene la MFA habilitada para todos los usuarios, especialmente para acceso privilegiado y remoto?".
• Reseñas de privilegios mínimos y acceso: Las regulaciones también exigen una estricta gobernanza del acceso. NIS2, por ejemplo, exige políticas de control de acceso y que las empresas mantengan una visión general de todos los activos y garanticen el uso y la gestión adecuados de los datos confidenciales mediante controles basados ​​en roles. Muchas normas exigen revisiones periódicas del acceso de los usuarios, por ejemplo, comprobando trimestralmente que los ex empleados hayan sido dados de baja y que los usuarios actuales tengan los derechos adecuados. En el sector financiero, organismos reguladores como FFIEC priorizan los controles de acceso basados ​​en roles y la eliminación inmediata del acceso cuando ya no es necesario. También observamos requisitos para la gestión de acceso privilegiado (PAM), que garantiza una gestión rigurosa de las cuentas con acceso restringido (credenciales únicas, MFA y supervisión de las sesiones de administrador).
• Segmentación de red y confianza del dispositivo: La Confianza Cero no se limita a la identidad del usuario, sino también al dispositivo y la red. El cumplimiento normativo lo refleja al exigir la segmentación de las redes para limitar el movimiento lateral. Por ejemplo, la propuesta actualizada de HIPAA exige explícitamente la segmentación y las pruebas periódicas de la red, instando así a las entidades sanitarias a implementar controles de red de estilo Confianza Cero (dividiendo los dispositivos clínicos, la TI corporativa, etc., y controlando las comunicaciones entre ellos). Otras directrices de infraestructura crítica, como las normas NERC CIP de energía eléctrica de EE. UU., exigen la segmentación entre los sistemas de control y las redes empresariales. Además, garantizar que solo se conecten dispositivos de confianza (mediante certificados de dispositivo o verificación) se está convirtiendo en parte de la lista de verificación de cumplimiento en entornos de alta seguridad.
• Marcos gubernamentales e industriales que impulsan la Confianza Cero: Aunque no esté codificado legalmente, muchas organizaciones están implementando la Confianza Cero bajo la influencia de marcos gubernamentales. Por ejemplo, el Modelo de Madurez de Confianza Cero de CISA proporciona una hoja de ruta que algunos sectores están adoptando por considerarla deficiente. El Departamento de Defensa de EE. UU. publicó una Estrategia de Confianza Cero en 2022, con el objetivo de que sus redes cumplan con los estándares avanzados. Zero Trust Para 2027, esto repercutirá en los contratistas de defensa, quienes deberán alinearse con dichas prácticas. Grupos del sector como la Cloud Security Alliance cuentan con directrices de Confianza Cero que pueden definir las auditorías de cumplimiento para los servicios en la nube. La expectativa general emergente es: "denegación predeterminada", asumir que toda solicitud de acceso podría ser maliciosa hasta que se demuestre lo contrario.
• Gobernanza y cumplimiento de identidad: Los reguladores también se preocupan por cómo las organizaciones gestionan las identidades a lo largo de su ciclo de vida. Por ejemplo, a menudo se audita la implementación de los procesos de alta y baja (para que las cuentas se creen con los roles correctos y se desactiven rápidamente tras la salida del empleado). Algunas normativas de privacidad también se relacionan con la gestión de identidades y accesos (IAM); por ejemplo, los principios de minimización de datos y seguridad del RGPD establecen que los usuarios solo deben acceder a los datos que necesitan, y podrían ser necesarios registros y monitorización del acceso para demostrar el cumplimiento normativo. La identidad es fundamental tanto para la seguridad como para el cumplimiento normativo; no sorprende que el 80 % de las filtraciones de datos se deban a credenciales comprometidas o robadas, por lo que abordar los problemas de identidad mitiga el riesgo de incumplimiento en todos los ámbitos.

Impactos y acciones

Para los responsables de cumplimiento y los CISO, alinearse con estos mandatos de IAM y Zero Trust significa:

• Implementar la MFA siempre que sea posible: Este es el primer paso y probablemente el control de seguridad con mayor retorno de la inversión. Si existen sistemas heredados que no admiten la MFA, planifique su eliminación gradual o la implementación de controles compensatorios. Documente su cobertura de la MFA, ya que los auditores se lo solicitarán.
• Aplicar rigurosamente el mínimo privilegio: Implemente el control de acceso basado en roles (RBAC) siempre que sea posible y mantenga un proceso riguroso para la elevación de privilegios (y solo otorgue lo necesario, si es posible temporalmente). Utilice herramientas de gobernanza de identidades para automatizar las revisiones y certificaciones de acceso; esto mejora la seguridad y genera evidencia de cumplimiento. Los datos muestran que las organizaciones con un RBAC sólido tienen un 50 % menos de probabilidades de sufrir un incidente grave debido al uso indebido de credenciales.
• Adoptar elementos de la arquitectura de confianza ceroEsto incluye la segmentación de redes (evitar redes planas donde un intruso pueda acceder a todo), la verificación del estado de los dispositivos (mediante la aplicación de la seguridad de endpoints) y la implementación de la monitorización continua del comportamiento del usuario (UEBA) para detectar si una cuenta legítima actúa de forma sospechosa. Si bien no todas las regulaciones establecen explícitamente la "Confianza Cero", su implementación satisfará intrínsecamente muchos controles específicos requeridos.
• Formación y cultura de usuarios. Las personas también forman parte de la gestión de identidades y accesos (IAM), capacitando a los usuarios sobre la buena higiene de contraseñas y la prevención del phishing (ya que la MFA no es infalible, por ejemplo, los ataques de fatiga de MFA). Muchas normativas (como NIS2 y otras) exigen formación en ciberseguridad para el personal, y el énfasis en las amenazas relacionadas con la identidad (phishing, ingeniería social) en dichas formaciones contribuye al cumplimiento normativo y a la reducción de incidentes.

En resumen, el entorno de cumplimiento normativo de 2025 exige que las organizaciones demuestren que saben quién accede a qué, cuándo, por qué y cómo en todo momento. Este enfoque centrado en la identidad es la clave de la Confianza Cero. Las organizaciones con visión de futuro no consideran la Confianza Cero simplemente como una palabra de moda, sino que la traducen en políticas y controles concretos que los auditores pueden verificar desde los paneles de control de autenticación multifactor (MFA) para acceder a los registros de revisión y los diagramas de microsegmentación.

Al hacerlo, no solo cumplen con las reglas actuales, sino que también están mejor preparados para el futuro, donde es probable que aparezcan requisitos de control de acceso aún más estrictos (por ejemplo, podríamos ver a los reguladores de seguros u otros codificar Zero Trust explícitamente).

Desafíos de cumplimiento específicos de la industria

Si bien muchas tendencias de cumplimiento normativo son generalizadas, ciertos desafíos son exclusivos de cada sector. En 2025, sectores como los servicios financieros, la salud y las infraestructuras críticas se enfrentan a regulaciones y amenazas específicas que requieren atención especializada. A continuación, examinamos algunos panoramas específicos de cada sector:

Servicios Financieros

Las instituciones financieras han estado sujetas a una estricta regulación durante mucho tiempo, pero ahora la ciberseguridad y los riesgos tecnológicos son prioritarios para el cumplimiento normativo bancario. Bancos, aseguradoras y firmas de inversión no solo deben proteger los datos confidenciales de sus clientes (para cumplir con las leyes de privacidad y la GLBA en EE. UU.), sino también garantizar la resiliencia de sus sistemas financieros críticos frente a ciberataques.

Resiliencia operativa digital en la UE: La Ley de Resiliencia Operativa Digital (DORA), que entrará en vigor en la UE en enero de 2025, supone un cambio radical para la banca y las entidades financieras. La DORA exige a las empresas implementar un marco integral de gestión de riesgos de TIC, realizar pruebas de estrés y escenarios periódicos de su ciberresiliencia, y mantener planes de continuidad de negocio que contemplen los incidentes cibernéticos. También exige la notificación de incidentes a los reguladores en plazos ajustados y formaliza la supervisión de proveedores de tecnología externos (como los servicios en la nube de los que dependen muchos bancos).

En esencia, DORA integra en la ley muchas buenas prácticas (que los bancos podrían haber seguido bajo la guía de la normativa), incluyendo sanciones por incumplimiento. Un banco en Europa deberá mostrar a los reguladores evidencia de aspectos como pruebas de penetración anuales, simulacros de recuperación de red y gobernanza donde el consejo de administración revisa periódicamente los riesgos cibernéticos. Esto eleva considerablemente el estándar y probablemente sea un modelo que podrían copiar los reguladores en otras jurisdicciones.

Divulgación y gobernanza cibernética: Las empresas financieras de todo el mundo se ven presionadas a ser transparentes sobre los riesgos cibernéticos. En EE. UU., más allá de las normas de la SEC para empresas que cotizan en bolsa, los reguladores bancarios esperan la notificación de incidentes importantes (como se indicó, en un plazo de 36 horas). Si la red de cajeros automáticos de un banco se cae debido a un ataque informático, los reguladores quieren saberlo de inmediato.

El sector financiero también ha sido pionero en el intercambio de información cibernética (a través del FSISAC, etc.), y ahora los marcos de cumplimiento fomentan la participación en dicho intercambio como parte de una sólida estrategia de seguridad. Se espera que los consejos de administración de las instituciones financieras participen especialmente; la Reserva Federal de Nueva York incluso ha impartido talleres sobre ciberseguridad para directores de bancos.

Antifraude y seguridad de datos: Los servicios financieros se enfrentan a amenazas únicas, como la apropiación de cuentas y el fraude en los pagos, por lo que el cumplimiento normativo se entrelaza con la protección del consumidor. Regulaciones como la PSD2 (Segunda Directiva de Servicios de Pago) de la UE exigen la Autenticación Reforzada de Clientes para los pagos en línea, que básicamente es la AMF para los clientes bancarios.

En EE. UU., los bancos deben cumplir con la Norma de Salvaguardias de la FTC (recientemente reforzada en 2023), que establece controles de seguridad específicos para los datos de los clientes, incluyendo el cifrado y los controles de acceso. También se espera que se supervisen las transacciones para detectar fraudes (leyes AML/KYC), lo que ahora suele implicar a los equipos de ciberseguridad debido a la proliferación del ciberfraude (phishing que deriva en fraude electrónico, etc.).

Pagos y PCI DSS 4.0: Toda entidad financiera (o comercio minorista, aunque muchas empresas financieras gestionan pagos) debe cumplir con el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago, versión 4.0, antes de marzo de 2025. PCI DSS 4.0 introduce nuevos requisitos, como una capacitación más frecuente contra el phishing, una autenticación multifactor (MFA) más estricta, un acceso a registros más robusto y un enfoque explícito en el cumplimiento continuo, en lugar de un estándar único. No se trata de una ley, sino de un requisito contractual/regulatorio que las redes de pago aplican rigurosamente. Para los bancos emisores de tarjetas de crédito o los comercios que las procesan, el incumplimiento puede acarrear multas o incluso la pérdida de la capacidad de procesar pagos con tarjeta.

Finanzas Las empresas deben asegurarse de cumplir con el máximo común denominador de requisitos. Esto a menudo implica adoptar marcos como NIST o ISO 27001 en toda la empresa y luego aplicar regulaciones específicas. El cifrado sólido de los datos financieros, la monitorización continua (muchos bancos tienen SOC 24/7), las auditorías de terceros y los informes a la junta directiva son imprescindibles. Dada la responsabilidad personal en algunos casos (p. ej., NIS2 podría responsabilizar a la gerencia y, en el Reino Unido, el régimen para altos directivos podría posiblemente extenderse a los riesgos tecnológicos), la participación de la alta gerencia es clave.

En última instancia, los reguladores financieros se preocupan por la estabilidad del sistema financiero. Un incidente cibernético grave podría causar pérdida de confianza o problemas económicos, por lo que lo tratan con el mismo rigor que la solvencia financiera. Los equipos de cumplimiento deben tratar los controles cibernéticos con el mismo rigor que los controles de adecuación de capital.

Sector Sanitario

Las organizaciones sanitarias se enfrentan al doble reto de proteger información sanitaria personal altamente sensible y garantizar la seguridad del paciente en un entorno sanitario cada vez más digital y conectado. Los requisitos de cumplimiento normativo en este sector se están endureciendo tras años en los que la sanidad se quedó a la zaga de otras industrias en cuanto a madurez en seguridad.

En EE. UU., la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) ha establecido desde hace tiempo las bases para la privacidad y seguridad de los datos de salud. Sin embargo, su Norma de Seguridad (que data de 2005) otorgó a las entidades cubiertas cierta flexibilidad con controles "direccionables". Ahora, los reguladores están tomando medidas para eliminar dicha flexibilidad ante las amenazas actuales.

Como se mencionó, el HHS propuso en enero de 2025 una norma para exigir todas las especificaciones abordables anteriormente, lo que hace que el cifrado, la autenticación multifactor, el análisis de riesgos y la respuesta a incidentes explícitamente obligatorio, entre otros cambios. La propuesta también introduce requisitos modernos: evaluaciones técnicas anuales de seguridad, mantenimiento del inventario de activos, mapeo de la red y planes de recuperación documentados.

Este es un gran cambio. Muchas clínicas más pequeñas o socios comerciales que tenían un cumplimiento mínimo tendrán que mejorar significativamente (por ejemplo, si una clínica no hubiera cifrado sus bases de datos o utilizado MFA para el acceso a la historia clínica electrónica, eso ya no sería viable). El HHS también está impulsando Adopción de prácticas de ciberseguridad según la ley de 2021 (HR 7898) Esto otorga mayor flexibilidad en la investigación de infracciones a las entidades que siguen prácticas de seguridad reconocidas (como el Marco de Ciberseguridad de NIST HC). De esta manera, los proveedores de atención médica se ven incentivados a adoptar marcos robustos o enfrentar sanciones más severas tras los incidentes.

Seguridad de dispositivos médicos e IoT: Los hospitales están repletos de dispositivos conectados (máquinas de diagnóstico por imágenes, bombas intravenosas, etc.). Reconociendo el riesgo, la FDA de EE. UU. exige ahora divulgaciones de ciberseguridad para los nuevos dispositivos médicos en el proceso de aprobación (a partir de 2023 mediante la Ley PATCH). Los fabricantes de dispositivos deben proporcionar una SBOM y comprometerse con los parches.

Para el cumplimiento normativo hospitalario, esto implica mantener un inventario de dispositivos y su software, aplicar parches rápidamente y segmentar los dispositivos en las redes. La Comisión Conjunta (organismo que acredita a los hospitales) también introdujo nuevos estándares en 2022-2023 en torno a la gestión de riesgos tecnológicos, que los hospitales deben cumplir para mantener su acreditación. En la UE, el Reglamento sobre Productos Sanitarios (MDR) también incluye requisitos esenciales para la ciberseguridad de los dispositivos. Por lo tanto, las organizaciones sanitarias deben incluir la seguridad de los dispositivos en su cumplimiento normativo general.

Privacidad y derechos del paciente: El cumplimiento de la privacidad sigue siendo fundamental; el RGPD se aplica a los datos de pacientes de la UE, lo que afecta a cualquier empresa farmacéutica o de investigación multinacional. Las iniciativas de interoperabilidad (como la Ley de Curas de EE. UU., que otorga a los pacientes mayor acceso a los datos mediante API) introducen nuevas posibilidades de vulneración, por lo que el cumplimiento ahora también implica verificar las aplicaciones de terceros.

Las entidades sanitarias a menudo deben cumplir no solo con la HIPAA, sino también con el Título 42 del Código de Regulaciones Federales (CFR), Parte 2 (sobre la confidencialidad de los registros de abuso de sustancias), leyes estatales como la Ley de Confidencialidad de la Información Médica de California (CMIA) y, ahora, las nuevas leyes estatales de privacidad, que a menudo no eximen todos los datos de salud (si una entidad no está completamente cubierta por la HIPAA, podría tener obligaciones estatales). Por lo tanto, los responsables de cumplimiento normativo de la atención médica se enfrentan a una compleja matriz de normas de privacidad.

Garantizar la seguridad de la ePHI en la práctica: Las brechas de cumplimiento más comunes en la atención médica han sido sistemas básicos sin parches, equipos Windows antiguos y contraseñas compartidas. Los reguladores ya no son tan indulgentes. La Oficina de Derechos Civiles (OCR) ha impuesto multas multimillonarias por infracciones y probablemente aumentará su aplicación a medida que se implementen nuevas normas. Una tendencia es la aplicación del análisis de riesgos. La OCR a menudo multa a las entidades no porque se haya producido una infracción, sino porque su evaluación de riesgos fue insuficiente o no se actualizó, lo cual es un requisito de la HIPAA. De ahora en adelante, es imprescindible realizar una evaluación de riesgos exhaustiva anual (o continua).

Las organizaciones sanitarias deberían actualizar sus programas de cumplimiento para que sean mucho más prescriptivos. Si se finaliza la normativa HIPAA, deberán cumplir todos los requisitos (cifrado de toda la información médica protegida (PHI) en reposo y en tránsito, autenticación multifactor (MFA) en todas las cuentas, identificaciones únicas para los usuarios, planes operativos de emergencia probados anualmente, etc.). Como preparación, muchas se están alineando con... Marco de ciberseguridad sanitaria del NIST o adoptar la certificación HITRUST (un marco común en el ámbito sanitario que combina múltiples estándares).

La capacitación de los empleados es clave, ya que el phishing es desenfrenado y los trabajadores de la salud están ocupados y a veces no son conscientes de los riesgos cibernéticos, pero las infracciones a través de información privilegiada o credenciales robadas son comunes, por lo que el cumplimiento incluye regímenes de capacitación sólidos (a menudo también requeridos por ley).

En general, el principal desafío de la atención médica es alcanzar la madurez de seguridad de otros sectores bajo una fuerte presión regulatoria, mientras se hace malabarismos con la prestación de servicios vitales y presupuestos a menudo ajustados. La tendencia es que los marcos de cumplimiento en salud se asemejarán cada vez más a los de finanzas en cuanto a rigor, dada la criticidad del servicio.

Infraestructura crítica

Los sectores de infraestructura crítica, como energía (electricidad, petróleo y gas), servicios de agua, transporte (aerolíneas, ferrocarriles, puertos), telecomunicaciones y otros, enfrentan quizás la mayor atención regulatoria en ciberseguridad. En estas industrias, un ciberincidente podría causar no solo pérdida de datos, sino también daños físicos o económicos a gran escala. En 2025, los gobiernos están tomando medidas enérgicas para fortalecer la infraestructura crítica mediante mandatos de cumplimiento normativo.

Cobertura más amplia bajo NIS2 (UE): La directiva NIS2 de la UE amplía el alcance de los sectores regulados en comparación con su predecesora. Ahora abarca una amplia gama de sectores, como la energía, el transporte, la banca, la sanidad, las infraestructuras públicas, las infraestructuras digitales (como DNS y centros de datos), el espacio, entre otros. También amplía la fabricación de productos críticos. En esencia, muchas organizaciones que antes no tenían que informar sobre su estado de seguridad a un regulador ahora estarán sujetas a la NIS2 si cumplen los criterios de tamaño en estos sectores.

El cumplimiento de NIS2 significa implementar todos Las medidas de seguridad básicas (evaluaciones de riesgos, plan de respuesta a incidentes, seguridad de la cadena de suministro, criptografía, control de acceso, etc.) y la instauración de la rendición de cuentas de la dirección y la supervisión de la gobernanza de los riesgos cibernéticos. Si un operador de red eléctrica en la UE no corrige las vulnerabilidades conocidas, por ejemplo, podría enfrentarse a multas significativas en virtud de la NIS2, al igual que si infringiera las normas de seguridad. Además, la cláusula de responsabilidad personal de la directiva para los directivos es un gran obstáculo para garantizar que la ciberseguridad se tome en serio desde la cúpula.

¿Cómo puede ayudar Encryption Consulting?

Encryption Consulting ofrece un servicio estructurado Servicio de Asesoría de Cumplimiento Diseñado para alinear su organización con marcos regulatorios globales como el RGPD, PCI DSS, HIPAA, NIS2 y DORA. Como parte de nuestro servicio, ofrecemos:

• Evaluación del estado actual: Revisamos sus políticas existentes de cifrado, gestión de claves y seguridad, evaluamos los entornos técnicos y recopilamos documentación de cumplimiento para establecer una base clara.
• Análisis de brechas: Evaluamos políticas y controles en relación con los estándares de la industria, identificamos desajustes y realizamos talleres y cuestionarios para descubrir debilidades en las prácticas de cifrado y cumplimiento.
• Hallazgos y recomendaciones:Entregamos un informe detallado con recomendaciones prácticas, priorizadas por riesgo, impacto en el cumplimiento y necesidades comerciales, para fortalecer su entorno de seguridad general.
• Desarrollo de la hoja de rutaCreamos una estrategia paso a paso adaptada a los objetivos de cumplimiento, los estándares de la industria y los hitos, garantizando un cumplimiento sostenible y una remediación eficiente.
• Asesoramiento continuoBrindamos apoyo continuo a través de reevaluaciones periódicas, actualizaciones regulatorias, capacitación del equipo y orientación estratégica durante auditorías y respuestas a incidentes.

Con este enfoque de extremo a extremo, ayudamos a las organizaciones no solo a cumplir con los requisitos de cumplimiento, sino también a desarrollar resiliencia, reducir el riesgo y mantenerse preparadas para futuras demandas regulatorias.

Conclusión

El año 2025 marca un punto de inflexión en el cumplimiento normativo, donde las obligaciones de ciberseguridad, privacidad y gobernanza alcanzan nuevos niveles de rigor y alcance. Las tendencias que hemos explorado, desde la expansión global de la privacidad de datos y los mandatos de cifrado hasta la gobernanza de la IA, los requisitos de divulgación, la integración de ESG, la seguridad de la cadena de suministro, la confianza cero, la automatización y las normas específicas de cada sector, en conjunto, dibujan un panorama de un futuro en el que las organizaciones deben... proactivo, transparente y resilienteEl cumplimiento ya no es una lista de verificación estática sino una función estratégica viva que debe adaptarse continuamente a los riesgos y reglas emergentes.

Entonces, ¿cómo pueden las organizaciones prepararse para el panorama de cumplimiento de los próximos años?

• Construya una estrategia de cumplimiento holística: Es necesario eliminar los silos entre el cumplimiento de la privacidad, la ciberseguridad y el gobierno corporativo. Un enfoque integrado (quizás mediante un marco de control común y una plataforma de GRC unificada) garantizará que no se pase por alto ningún aspecto y reducirá la duplicación de esfuerzos. Por ejemplo, un comité o grupo de trabajo de cumplimiento unificado puede supervisar la protección de datos, el riesgo cibernético y la divulgación de información ESG de forma colectiva, reconociendo sus interdependencias.
• Manténgase a la vanguardia de las regulaciones: Dado el ritmo acelerado de los cambios regulatorios, las organizaciones deberían invertir en capacidades de análisis de futuro. Esto podría implicar asignar personal o utilizar servicios de vigilancia regulatoria (y herramientas de IA) para supervisar las leyes propuestas y las normas emergentes en todas las regiones donde operan. Participar en asociaciones del sector o en periodos de consulta pública puede aportar información valiosa e influir. El objetivo es evitar sorpresas si, por ejemplo, se sabe que una Ley de IA o una nueva ley estatal se promulgará en 18 meses; así, se puede empezar a alinear las políticas ahora en lugar de apresurarse más tarde.
• Adopte la tecnología y la automatización: La complejidad del cumplimiento normativo en 2025 y en adelante simplemente no se puede gestionar manualmente. Las organizaciones deben aprovechar la automatización del cumplimiento normativo para gestionar la supervisión de los controles, la recopilación de pruebas y la generación de informes. Esto no solo aumenta la eficiencia del cumplimiento normativo, sino que también suele mejorar la seguridad al proporcionar retroalimentación en tiempo real. Además, considere cómo las tecnologías emergentes como la IA pueden ayudar, por ejemplo, automatizando las revisiones de código para la seguridad (lo que contribuye al cumplimiento normativo de la cadena de suministro de software) o analizando el comportamiento de los usuarios para detectar amenazas internas (vinculado a la confianza cero). Una nota importante: la tecnología debe complementar a un equipo de cumplimiento cualificado, no reemplazarlo. Los profesionales del cumplimiento con talento que comprendan el negocio y la tecnología seguirán siendo indispensables.
• Cultivar una cultura de cumplimiento: Las regulaciones pueden imponer requisitos, pero en última instancia, son las personas quienes los implementan. Las organizaciones líderes fomentan una cultura donde los empleados de todos los niveles comprenden la importancia del cumplimiento normativo y se sienten personalmente comprometidos con él. Esto implica capacitación regular (con contenido atractivo, no solo casillas de verificación aburridas), mensajes de liderazgo sobre integridad y seguridad, e integración de los objetivos de cumplimiento normativo en las metas de rendimiento. Por ejemplo, integrar la seguridad y el cumplimiento normativo en la descripción del trabajo de todos, que los desarrolladores escriban código teniendo en cuenta la seguridad, que los vendedores sean cuidadosos con los datos de los clientes, etc., crea un entorno donde el cumplimiento normativo es la norma, no una ocurrencia tardía.
• Mejorar la preparación ante incidentes y la transparencia: Con la divulgación obligatoria de información y los plazos de presentación de informes rápidos, las empresas deben estar preparadas para responder a los incidentes antes de que ocurran. Esto incluye contar con manuales detallados de respuesta a incidentes, planes de comunicación (incluyendo plantillas preliminares para notificaciones a reguladores, clientes e inversores) e incluso estrategias de gestión de medios. Realice simulacros de infracciones con regularidad, involucrando no solo al departamento de TI, sino también al departamento legal, de relaciones públicas y a la dirección ejecutiva, para que, en caso de ocurrir lo peor, la organización pueda responder de forma coordinada y conforme a las normas. Además, dado el enfoque en la transparencia, es prudente asumir que los incidentes significativos se harán públicos, por lo que actuar con honestidad y responsabilidad durante los incidentes forma parte de mantener la confianza (y los reguladores consideran la cooperación y la franqueza al determinar las sanciones).
• Medir e informar sobre el cumplimiento internamente: Las juntas directivas y los ejecutivos deben recibir métricas significativas sobre la postura de cumplimiento de la empresa. Esto podría incluir KPI como el porcentaje de personal que completó la capacitación en seguridad, el número de hallazgos de alto riesgo de las auditorías que se remediaron, el tiempo necesario para corregir vulnerabilidades críticas o las calificaciones de riesgo de terceros. Al cuantificar y rastrear estos datos, la dirección puede supervisar mejor el cumplimiento (lo cual también se vincula con las expectativas ESG) y asignar recursos donde sea necesario. En muchos sectores, los reguladores ahora esperan que las actas de la junta directiva reflejen las discusiones sobre ciberseguridad y cumplimiento; la presentación de informes periódicos contribuye al cumplimiento de esta obligación y puede demostrar el compromiso de la gerencia.
• Planificar las tendencias futuras: De cara al futuro, podemos prever algunas áreas que podrían convertirse en los desafíos de cumplimiento normativo del futuro. Por ejemplo, se habló de la computación cuántica, y de las organizaciones que podrían desarrollar una hoja de ruta para la agilidad criptográfica ahora, para no verse sorprendidas en la década de 2030. En esencia, las organizaciones deben esforzarse por transformar el cumplimiento normativo, de un costoso centro de costos, en un facilitador de negocios y generador de confianza. Quienes gestionan bien el cumplimiento normativo ganan credibilidad ante los clientes (que saben que sus datos están protegidos), los socios (que los ven como eslabones seguros de la cadena) y los reguladores (que pueden otorgar certificaciones o aprobaciones más rápidas). Por ejemplo, demostrar un sólido cumplimiento de los estándares de seguridad puede abrir las puertas al trabajo en sectores sensibles o al manejo de datos gubernamentales, lo que puede ser un factor diferenciador en el mercado.

El cumplimiento normativo en 2025 y en adelante es sin duda un reto, y el listón está más alto que nunca. Sin embargo, al adoptar un enfoque estratégico y proactivo y aprovechar las tendencias descritas anteriormente, las organizaciones no solo pueden evitar sanciones e incidentes, sino que también pueden convertir un cumplimiento sólido en una ventaja competitiva.

Quienes se preparen hoy para las regulaciones y los riesgos del mañana estarán mejor posicionados para prosperar en un entorno donde la confianza y la rendición de cuentas son primordiales. Como dice el refrán, “El cumplimiento es un viaje, no un destino”Y ese camino se está acelerando. Ahora es el momento de apretarse el cinturón, trazar la ruta e impulsar con confianza su programa de cumplimiento hacia el futuro.