El informe anual sobre inversiones en ciberseguridad, elaborado por la Agencia Europea de Seguridad de las Redes y de la Información (ENISA), revela los resultados de una encuesta que examina cómo se implementa la política de ciberseguridad en las organizaciones de la Unión Europea y cuáles son sus efectos en las inversiones, recursos y operaciones. Este estudio tiene como objetivo proporcionar a los responsables políticos y profesionales a nivel nacional y europeo información valiosa sobre la aplicación de las políticas de ciberseguridad en las entidades y los desafíos que enfrentan.
La edición de este año ha sido rediseñada para centrarse en el relato que ofrecen los datos, organizándose en torno a insights clave.
Juhan Lepassaar, director ejecutivo de ENISA, comentó: “El Estudio sobre Inversiones NIS ofrece perspectivas fundamentales para apoyar a los Estados miembros de la UE en la construcción de resiliencia cibernética en sectores críticos. Los hallazgos nos ayudan a comprender mejor los desafíos, orientar nuestro apoyo e informar nuestras recomendaciones para el futuro.”
Este año, se realizó una encuesta entre 1080 organizaciones públicas y privadas en todos los Estados miembros, abarcando todos los sectores considerados de alta criticidad bajo la Directiva NIS2. Esta directiva es un pilar esencial del esfuerzo de la Unión Europea para garantizar un alto nivel común de ciberseguridad en todos los Estados miembros, fortaleciendo las normas para proteger mejor los sectores críticos. La muestra incluyó un 83% de grandes empresas y un 17% de pequeñas y medianas empresas (PYMES), lo que permite obtener comparativas entre diferentes tipos de organizaciones.
Principales Hallazgos del Informe sobre Inversiones en Ciberseguridad
Para un análisis más detallado de los datos recopilados, se ha publicado un compañero de datos junto al informe. Este contiene dos vistas separadas del conjunto de datos: una por Estado miembro y otra sectorial.
A continuación se resumen algunos insights clave del informe:
1. Cambio en el enfoque de inversión: tecnología y servicios por encima del talento humano
A pesar de que las organizaciones han mantenido sus inversiones en ciberseguridad a niveles similares al año anterior (9% del presupuesto IT; mediana 1.5 millones de euros), el gasto se dirige cada vez más hacia tecnología y externalización, dejando atrás la expansión de equipos internos.
2. La escasez de talento cibernético persiste
Dificultades para atraer (76%) y retener (71%) profesionales en ciberseguridad continúan siendo una realidad, exacerbadas por una falta generalizada de expertos cualificados y una feroz competencia por el talento limitado. La alta rotación refuerza esta brecha, aumentando el riesgo y modificando las estrategias laborales.
Cumplimiento Normativo como Motor Principal
3. El cumplimiento normativo sigue siendo el principal motor de inversión pero no el único resultado positivo
Aunque el cumplimiento representa el principal impulsor (70%) para invertir en ciberseguridad, sus beneficios van más allá del ámbito regulatorio. Estas inversiones han fortalecido aspectos como la gestión del riesgo (41%), detección (35%) y respuesta (26%). De cara al futuro, las organizaciones planean centrarse más en mejorar herramientas, capacidades de recuperación y desarrollo interno, indicando que las políticas están guiando avances significativos.
4. La Directiva NIS2 plantea nuevos retos a su implementación
A pesar de que NIS2 está impulsando a las entidades a reforzar áreas críticas para la resiliencia cibernética, su implementación es percibida como complicada. Las organizaciones mencionan dificultades con parches (50%), continuidad del negocio (49%) y gestión del riesgo en la cadena de suministro (37%). Las diferencias entre tamaños organizacionales evidencian desafíos específicos; por ejemplo, las grandes empresas enfrentan problemas relacionados con enfoques armonizados mientras que las PYMES requieren orientación accesible y herramientas asequibles.
Puntos Críticos Relacionados con Vulnerabilidades Cibernéticas
5. Los parches tardan meses; muchos no realizan pruebas de seguridad
A pesar del impulso regulatorio, mantener actualizadas las medidas correctivas sigue siendo complicado. Casi 1 de cada 3 organizaciones no ha realizado una evaluación de ciberseguridad en el último año; además, un 28% tarda más de tres meses en corregir vulnerabilidades críticas. Esto resulta especialmente problemático para las PYMES donde tanto la prueba (63%) como el parcheo (51%) son obstáculos persistentes.
6. Riesgo en la cadena de suministro: controles más fuertes pero mayor dependencia
Aunque se están mejorando los controles sobre riesgos relacionados con la cadena de suministro, una creciente dependencia hacia servicios externos introduce nuevas vulnerabilidades —especialmente cuando se trata de proveedores pequeños con recursos limitados—. Esta preocupación se refleja también en informes recientes sobre tendencias amenazantes donde se observa un aumento en ataques dirigidos a dependencias cibernéticas.
7. Ataques DoS generan tensiones; ransomware provoca pesadillas
Mientras que los ataques DoS son los que más presión ejercen sobre las operaciones diarias, preocupaciones sobre ransomware (55%), ataques a cadenas de suministro (47%) y phishing (35%) dominan el horizonte organizacional. La preparación es desigual; las PYMES reportan menor confianza respecto a su capacidad para anticipar, soportar y recuperarse ante incidentes cibernéticos.
Análisis Futuro Basado en Datos Recopilados por ENISA
Los datos obtenidos mediante este estudio alimentan trabajos analíticos más amplios realizados por ENISA, incluyendo informes sobre criticidad sectorial y madurez así como el Índice Europeo de Ciberseguridad. Además, estos hallazgos contribuyen al informe sobre el estado actual de la ciberseguridad dentro de la Unión Europea e informan sus recomendaciones futuras.
Si (
No(
