Pymes españolas en riesgo por déficit de talento y recursos

Seis meses después de la entrada en vigor de la Directiva NIS2 en España, el tejido empresarial europeo aún se encuentra lejos de cumplir con los estándares de ciberseguridad que marca la normativa. Un reciente informe de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) revela que la mayoría de las compañías no está preparada para responder a las exigencias regulatorias, debido principalmente a la falta de profesionales especializados y a limitaciones presupuestarias que afectan con mayor intensidad a las pymes.

El estudio indica que el 89% de las empresas reconoce la necesidad de reforzar sus equipos de ciberseguridad, con especial foco en áreas de arquitectura (46%) y operaciones (40%). No obstante, un 34% de las pymes admite que no contará con fondos adicionales para contratar personal ni adquirir soluciones avanzadas, lo que compromete su capacidad de adaptación a la normativa.

Estrategias sostenibles frente a la falta de talento

Expertos del sector insisten en que el cumplimiento de la NIS2 no debe limitarse a la ampliación de plantillas. Como señala José Antonio Morcillo, Head of Channel Iberia de Kaspersky, “no todas las empresas pueden permitirse construir un centro de operaciones de seguridad ni contratar más personal especializado, pero sí pueden externalizar funciones críticas y reforzar su postura de seguridad sin disparar costes”.

Este enfoque plantea alternativas como la subcontratación de servicios especializados, la automatización de procesos y la integración de soluciones de ciberseguridad adaptadas a la escala y necesidades de cada organización. De este modo, las pymes pueden mejorar su resiliencia frente a ciberataques sin asumir inversiones desproporcionadas.

La Directiva NIS2 obliga a miles de compañías españolas, incluidas las de sectores críticos como la salud, los servicios TIC, la administración pública o el espacio, a adoptar medidas organizativas, técnicas y operativas que aseguren una adecuada gestión del riesgo digital. Según ENISA, muchos de estos sectores permanecen en la denominada “zona de riesgo” regulatoria, al no haber alcanzado todavía el nivel mínimo de madurez en ciberseguridad requerido.

Kaspersky destaca que la preparación para la NIS2 debe abordarse desde una estrategia integral, que combine tecnología, procesos y capacitación. La compañía propone herramientas como Kaspersky Security Awareness, programas de formación técnica como xTraining, o servicios de detección y respuesta gestionada (MDR). Todas estas soluciones están alineadas con los artículos 20 y 21 de la Directiva, que regulan aspectos como la preparación organizativa, la respuesta a incidentes y la continuidad de negocio.

El incumplimiento de la normativa puede acarrear consecuencias significativas. Además de las sanciones económicas, las organizaciones se arriesgan a sufrir interrupciones en sus operaciones y una pérdida de confianza por parte de clientes, ciudadanos y socios estratégicos. En palabras de Morcillo: “Las empresas que no puedan cumplir a tiempo no solo arriesgan una multa, sino que dejan expuestos servicios esenciales y cadenas de suministro críticas”.