En España, el Gobierno ha aprobado, a propuesta del Ministerio del Interior, el proyecto de Ley de Protección y Resiliencia de Entidades Críticas, que incorpora al ordenamiento jurídico nacional la más reciente directiva europea sobre la salvaguarda de aquellas instituciones y empresas que prestan servicios esenciales en sectores estratégicos indispensables para mantener las funciones sociales o las actividades económicas vitales en el ámbito nacional y la Unión Europea. Este cambio supone la transición desde el modelo tradicional de protección de activos hacia un enfoque centrado en la resiliencia de las entidades críticas, donde el objetivo principal es garantizar la continuidad de los servicios esenciales.
 

1. Introducción: del modelo PIC a la resiliencia
    

2. Origen del cambio: el marco europeo
    

• Ampliación del alcance: más sectores y servicios esenciales
   
• Enfoque “all hazards”: consideración de todo tipo de amenazas
   
• Orientación a funciones críticas: más allá del activo físico
   

3. Transformación del modelo español
    

• De infraestructura crítica a entidad crítica
   

• De protección a resiliencia
   

• De cumplimiento a gestión activa
   

4. Un nuevo modelo de gestión de riesgos
    

5. Nuevas obligaciones para operadores críticos
    

• Planes de resiliencia
   

• Gobernanza y organización
   

• Gestión de incidentes
   

• Continuidad operativa
   

6. Refuerzo de la colaboración público–privada
    

7. Convergencia con la ciberseguridad
    

8. Impacto en la gobernanza empresarial
    

9. Tecnología como habilitador de resiliencia
    

10. Supervisión, auditoría y cumplimiento
     

11. Retos y oportunidades
     

Veamos esquemáticamente la realidad de nuestra percepción y establecer un Decálogo sobre Resiliencia y Gobernanza. La Seguridad Integral e Integrada ante el nuevo Marco Regulatorio Global.
 

En el actual entorno de multicrisis global, la seguridad ha dejado de ser una función periférica para consolidarse como un eje transversal de la estrategia corporativa y ciudadana.
 

La transición desde modelos reactivos hacia modelos de Seguridad Estratégica no es solo una evolución técnica, sino un imperativo de supervivencia.
 

Para la alta dirección, la seguridad hoy se mide por la capacidad de garantizar la continuidad operativa y la reputación institucional, bajo una supervisión regulatoria cada vez más estricta.
 

El éxito de la seguridad moderna radica en superar la fragmentación departamental a través de dos dimensiones críticas:
 

Dimensión Integral (El Qué): un enfoque holístico que protege de forma coordinada el capital humano, los activos físicos, los activos intangibles (información, reputación y propiedad intelectual) y los procesos críticos (operaciones y resiliencia).
 

Dimensión Integrada (El Cómo): la convergencia real entre la Seguridad Física (Safety & Security) y la Ciberseguridad. Esta condición hibrida permite una visibilidad de 360° sobre el mapa de riesgos, eliminando los silos de información y optimizando la respuesta ante amenazas que saltan del mundo digital al físico.
 

A ello, habría que sumarle la Integración Público-Privada, la cooperación entre: Administraciones públicas, Operadores estratégicos, Empresas de seguridad y Organismos de inteligencia.
 

La evolución del paradigma está hoy acelerada por un entorno normativo internacional que exige responsabilidad proactiva a la alta dirección. La seguridad ya no es voluntaria, es una obligación de gobernanza:
 

Directivas de Resiliencia (NIS2 y CER): en el marco europeo, la directiva NIS2 eleva las exigencias de ciberseguridad para sectores críticos, mientras que la directiva CER (Critical Entity Resilience) pone el foco en la resiliencia física ante sabotajes o desastres naturales. Ambas obligan a una visión integrada donde la interdependencia físico-digital es el centro de la estrategia.
 

Normativas Internacionales (ISO): el despliegue de este paradigma se apoya en marcos de referencia globales como la ISO 27001 (Seguridad de la Información), la ISO 22301 (Continuidad de Negocio) y la ISO 31000 (Gestión de Riesgos). Estos estándares proporcionan un lenguaje común para que los responsables técnicos y directivos puedan medir la madurez de su organización.
 

DORA (Digital Operational Resilience Act): específicamente para el sector financiero, este reglamento refuerza la necesidad de que la tecnología y la operativa sean resilientes ante cualquier interrupción sistémica.
 

Todo ello, sobre la base de una protección física básica para respuesta a incidentes y una seguridad preventiva de evaluación integral de riesgos con protocolos y procedimientos e incorporación tecnológica específica.
 

Una seguridad integrada con coordinación entre las áreas, la gestión transversal del riesgo y el uso intensivo de tecnología.
 

Una seguridad predictiva y resiliente con analítica avanzada, inteligencia de amenazas, modelos predictivos y resiliencia organizacional.
 

El nuevo planteamiento de análisis y evaluación de riesgos, amenazas y vulnerabilidades (Físicos, Digitales, Humanos, Ambientales, Reputacionales), se enmarca en una complejidad creciente con interdependencia de sistemas, Infraestructuras críticas y una globalización de amenazas híbridas con combinación de: Ciberataques, Sabotajes, Desinformación, Presión económica o social.
 

La organización de la seguridad (prevención + protección) ha de plantearse como un ecosistema de riesgos con interdependencia entre procesos críticos, con una arquitectura de seguridad en segmentos o capas: física, tecnológica, operativa, estratégica y de resiliencia.
 

Se establecerán centros integrados de control y seguridad: SOC (ciberseguridad), PSIM (seguridad física), Centros de control unificados.
 

La imprescindible colaboración público-privada es una necesidad estratégica que debe ir avanzando hacía una colaboración/integración operativa, teniendo en cuenta que la mayoría de infraestructuras esenciales y críticas son privadas pero el impacto de incidentes es público.
 

Los modelos de cooperación han de ir avanzando y mejorando en el intercambio de información, la inteligencia compartida, los protocolos coordinados y la respuesta conjunta.
 

Todo ello redunda en beneficios para una mejor detección de amenazas, una respuesta más rápida y, una reducción de impacto.
 

La Convergencia Público-Privada ha de plantearse como una necesidad táctica, como un ecosistema donde, principalmente, en las infraestructuras críticas, su caída impacta directamente en el interés público y la colaboración Público-Privada (CPP) es el catalizador de la resiliencia nacional.
 

Los directivos deben ver en la CPP un canal de intercambio de inteligencia bidireccional que reduce el impacto de las amenazas híbridas y facilita el cumplimiento de las nuevas obligaciones de notificación de incidentes exigidas por ley.
 

La arquitectura de seguridad debe estructurarse en capas interoperables (Detección, SOC/PSIM e Inteligencia Artificial). Sin embargo, el habilitador más crítico es la Cultura de Seguridad.
 

La normativa actual (como NIS2) responsabiliza directamente a la alta dirección de la falta de formación y concienciación. Por ello, la seguridad debe ser parte del ADN corporativo, liderada por un CSO con presencia activa en los comités de decisión.
 

La inteligencia artificial, la analítica de datos, la videovigilancia inteligente, la ciberseguridad avanzada, la IoT y los sensores y detección integrada, son la clave de las nuevas instalaciones de seguridad.
 

En este sentido, hemos de seguir avanzando de lo reactivo a lo predictivo mediante la detección temprana, las alertas automatizadas y los modelos de riesgo dinámico. Teniendo en cuenta los riesgos tecnológicos como la dependencia digital, las nuevas superficies de ataque y las vulnerabilidades en sistemas críticos.
 

La transformación hacia la seguridad integral e integrada debe ir acompañada de una sólida política de formación y capacitación continua. El desarrollo de competencias digitales, el pensamiento crítico y la alfabetización en ciberseguridad son esenciales para mantener la eficacia operativa del personal y la conciencia preventiva en toda la sociedad.
 

Para ello, es precisa una nueva formación especializada que tiene como principales objetivos adquirir las capacidades imprescindibles para desempeñar funciones de seguridad (prevención y protección), adquiriendo las competencias profesionales necesarias para el diseño, planificación, gestión e implantación de los correspondientes planes y protocolos de seguridad.
 

En este sentido, el factor humano es la primera línea de defensa y el principal vector de riesgo donde son elementos clave la formación, la concienciación, el liderazgo y la comunicación
 

El objetivo final no es la infalibilidad, sino la Resiliencia. Una organización que adopta la seguridad integral e integrada no solo cumple con la regulación, sino que construye una ventaja competitiva.
 

La resiliencia es la capacidad de: anticipar, resistir, responder, recuperarse y adaptarse donde sus componentes básicos y objetivos son la continuidad de funcionamiento, la gestión de crisis y el aprendizaje organizativo.
 

Ser capaz de absorber el impacto de una crisis, adaptarse y emerger fortalecido es lo que asegura la confianza de inversores, clientes y la sociedad en un mundo de riesgo permanente.
 

El nuevo paradigma de la seguridad integral e integrada requiere igualmente de un liderazgo con implicación de la alta dirección y un rol estratégico del Director de Seguridad/CSO basado en la gestión global del riesgo y las decisiones informadas.
 

A modo de resumen, podemos determinar que la seguridad integral e integrada es un paradigma en evolución constante donde la complejidad del entorno exige enfoques sistémicos y colaborativos y donde la resiliencia es el objetivo final y el liderazgo y la estrategia marcan la diferencia en una seguridad que ya no consiste en proteger lo que tenemos, sino en garantizar que podamos seguir operando pese a incidencias y contingencias de diferente grado de inseguridad y potenciales consecuencias mediante una seguridad autónoma y automatizada, una inteligencia artificial aplicada, una mayor integración público-privada y una regulación más exigente que, además, presenta la seguridad como ventaja competitiva.

Un enfoque normativo integrado de resiliencia, seguridad y gobernanza
 

Este artículo presenta un Decálogo de Riesgos y Amenazas 2026, alineado con el Planteamiento Nacional de Riesgos y Amenazas y adaptado a dichos marcos normativos, como instrumento técnico de planificación estratégica para la gestión integral del riesgo, la priorización de inversiones y la mejora de la resiliencia operativa.

El enfoque propuesto integra seguridad física, lógica, organizativa y de gobernanza, reforzando la cooperación público-privada y anticipando amenazas complejas de naturaleza híbrida, tecnológica, climática y humana.
 

De la protección al paradigma de la resiliencia
 

La seguridad de las infraestructuras críticas ha evolucionado desde modelos centrados en la protección reactiva hacia un enfoque sistémico de resiliencia, basado en la gestión del riesgo, la continuidad del servicio y la recuperación ante incidentes complejos.
 

En este contexto, el Planteamiento Nacional de Riesgos y Amenazas 2026 constituye un marco de referencia estratégico que, alineado con NIS2, ENS y PNPIC, exige a los operadores críticos y esenciales:
 

• Evaluaciones integrales de riesgos.
   
• Responsabilidad directa de la alta dirección.
   
• Integración de seguridad física, ciberseguridad y organización.
   
• Coordinación intersectorial y público-privada.
   

El Decálogo que se desarrolla a continuación traduce estos principios en categorías operativas de riesgo, relevantes para 2026.
 

Amenazas híbridas a servicios esenciales
 

Las amenazas híbridas se caracterizan por la combinación coordinada de vectores físicos, cibernéticos e informativos, con el objetivo de interrumpir servicios esenciales y erosionar la confianza pública.
 

En 2026, estas amenazas presentan una naturaleza claramente multidimensional, afectando de forma prioritaria a sectores como energía, agua, transporte, telecomunicaciones y salud, con potenciales efectos dominó sobre la sociedad.
 

Marco normativo: NIS2 - DORA - PNPIC
 

Impacto: Crítico
 

Exigencias clave: Gestión integral del riesgo y cooperación con autoridades competentes
 

Líneas estratégicas: Análisis avanzado de amenazas, inteligencia compartida y Planes de Protección Específicos (PPE).
 

Ciberataques a sistemas IT/OT y redes críticas
 

La convergencia entre tecnologías de la información (IT) y tecnologías operacionales (OT) ha ampliado significativamente la superficie de ataque de las infraestructuras críticas.
 

En 2026, los riesgos más relevantes incluyen ransomware avanzado, ataques autónomos apoyados en IA y compromisos de la cadena de suministro digital, capaces de trasladar un incidente cibernético al plano físico.
 

Marco normativo: NIS2 - ENS
 

Impacto: Crítico
 

Exigencias clave: Medidas técnicas y organizativas proporcionales al riesgo
 

Líneas estratégicas: Arquitecturas XDR/SASE, segmentación OT, monitorización continua y respuesta temprana.
 

Vulnerabilidad física de activos críticos
 

La vulnerabilidad física abarca tantos fallos en el control de accesos y protección perimetral como la exposición a sabotajes directos, amenazas híbridas y riesgos ambientales.
 

En entornos altamente digitalizados, estas vulnerabilidades adquieren un carácter ciber-físico, donde el acceso físico puede convertirse en vector de ataque lógico.
 

Marco normativo: PNPIC - ENS
 

Impacto: Alto
 

Exigencias clave: Protección física acorde a la criticidad del activo
 

Líneas estratégicas: Videovigilancia inteligente, control de accesos avanzado, sensores perimetrales e integración de sistemas.
 

Interdependencias y efectos cascada entre sectores críticos
 

Las infraestructuras críticas forman un ecosistema altamente interconectado. Un fallo en un único sector puede generar efectos cascada amplificados en otros servicios esenciales.
 

La Directiva CER refuerza en 2026 la necesidad de una visión sistémica, incorporando análisis de dependencias físicas, digitales, geográficas y lógicas.
 

Marco normativo: NIS2 - PNPIC - CER
 

Impacto: Crítico
 

Exigencias clave: Análisis de interdependencias y continuidad del servicio
 

Líneas estratégicas: Planes de continuidad integrados, simulacros y coordinación intersectorial.
 

Terrorismo y sabotaje a infraestructuras estratégicas
 

El terrorismo y el sabotaje persisten como amenazas deliberadas de alto impacto social, económico y político.
 

En 2026, la respuesta normativa enfatiza la protección proactiva, la resiliencia de entidades críticas y la coordinación estrecha con Fuerzas y Cuerpos de Seguridad.
 

Marco normativo: PNPIC - CER
 

Impacto: Alto
 

Exigencias clave: Planes de protección y protocolos de crisis
 

Líneas estratégicas: Protección reforzada, análisis de amenazas y gestión de contingencias.
 

Crimen organizado y riesgo interno (insider threat)
 

El crimen organizado y el riesgo interno representan amenazas complejas, difíciles de detectar y con alto potencial de impacto.
 

La colaboración entre actores externos e insiders maliciosos refuerza la necesidad de modelos de Zero Trust, control continuo de accesos y cultura de seguridad.
 

Marco normativo: NIS2 - ENS - PNPIC
 

Impacto: Alto
 

Exigencias clave: Gestión de identidades, trazabilidad y concienciación
 

Líneas estratégicas: Biometría, segregación de funciones y programas de cultura de seguridad.
 

Riesgos tecnológicos y de la cadena de suministro
 

La dependencia de proveedores tecnológicos y servicios externalizados introduce riesgos sistémicos, tanto por fallos operativos como por compromisos de seguridad.
 

En 2026, la soberanía tecnológica y el control de terceros se consolidan como prioridades estratégicas.
 

Marco normativo: NIS2
 

Impacto: Medio-Alto
 

Exigencias clave: Evaluación y gestión de riesgos de terceros
 

Líneas estratégicas: Auditorías de proveedores, diversificación y análisis SBOM.
 

Desinformación y gestión de crisis reputacional
 

La desinformación se ha convertido en un vector híbrido capaz de amplificar incidentes técnicos y generar alarma social.
 

La gestión de la reputación se integra en la seguridad como un activo crítico, exigiendo capacidades de comunicación anticipada y gestión de policrisis.
 

Marco normativo: NIS2
 

Impacto: Alto
 

Exigencias clave: Notificación y comunicación eficaz de incidentes
 

Líneas estratégicas: Monitorización informativa y planes de comunicación de crisis.
 

Riesgos climáticos y continuidad del servicio
 

El incremento de fenómenos climáticos extremos obliga a replantear el diseño y operación de las infraestructuras críticas.
 

La continuidad del servicio en 2026 se mide por la capacidad de adaptación, no solo por la robustez técnica.
 

Marco normativo: NIS2 - PNPIC - CER
 

Impacto: Alto
 

Exigencias clave: Resiliencia operativa y recuperación
 

Líneas estratégicas: Mapas de vulnerabilidad climática, alertas tempranas y redundancias críticas.
 

Riesgo organizativo, humano y de gobernanza
 

La experiencia demuestra que más del 80 % de los incidentes de seguridad tienen origen humano u organizativo.
 

La resiliencia exige liderazgo, gobernanza efectiva y formación continua como pilares de la seguridad integral.
 

Marco normativo: ENS - NIS2
 

Impacto: Medio-Alto
 

Exigencias clave: Responsabilidad de la alta dirección
 

Líneas estratégicas: Gobierno de la seguridad, KPIs, auditorías y capacitación continua.
 

Conclusiones

El Decálogo de Riesgos y Amenazas 2026 se fundamenta en cinco principios comunes a NIS2, ENS y PNPIC:
 

1. Gestión basada en riesgos.
    
2. Responsabilidad directa de la alta dirección.
    
3. Integración de seguridad física, lógica y organizativa.
    
4. Ciclo completo de prevención, detección, respuesta y recuperación.
    
5. Cooperación público-privada e intercambio de información.
    

Más allá del obligado cumplimiento, se trata de anticipar mediante la prevención, estructurar una seguridad integral e integrada y gestionar la seguridad globalmente como un activo esencial para la adecuada protección de las infraestructuras críticas y estratégicas.
 

La alineación del Planteamiento Nacional de Riesgos y Amenazas 2026 con estos marcos normativos permite a los operadores de infraestructuras críticas transformar el cumplimiento regulatorio en una ventaja estratégica, fortaleciendo la resiliencia, la continuidad del servicio y la confianza de la ciudadanía
 

En este artículo se han planteado las líneas maestras de este decálogo, si quiere obtener el artículo completo solicítelo en el siguiente correo electrónico: infoseguridad@getseguridad.com