En el actual escenario de la industria global, la competitividad ya no se mide únicamente por la capacidad de producir más y mejor, sino por la garantía de hacerlo de forma segura. El reciente y masivo ciberataque a Jaguar Land Rover en agosto de 2025 —que paralizó su producción y obligó al gobierno británico a intervenir con una garantía de 1.500 millones de libras para evitar un colapso sistémico— ha evidenciado que la ciberseguridad es ya una cuestión de supervivencia económica.
El encuentro Cumplir para competir: el nuevo marco de la ciberseguridad, moderado por Oihana Prado, periodista de NOTICIAS DE GIPUZKOA, desgranó el futuro de los certificados de ciberseguridad, una suerte de pasaporte digital que será imprescindible para que cualquier producto conectado pueda circular y venderse en el mercado europeo. La sesión contó con la participación de Jon Kepa Gerrikagoitia, responsable científico-tecnológico de BRTA; María Penilla, directora de ZIUR; y Andoni García, abogado especialista en derecho digital del bufete Seinale de Donostia.
Consulta aquí el vídeo completo del encuentro:
El foco se puso en torno a la inminente normativa europea que transformará el tejido industrial y marcará un punto de inflexión. Y es que a partir de diciembre de 2027, cualquier producto que integre hardware o software deberá contar con un certificado de ciberseguridad para ser comercializado. Penilla resaltó que este camino impulsará la competitividad de las compañías: ”O haces las cosas de manera cibersegura según lo que especifica la normativa o estás fuera del mercado”.
Demanda social y gubernamental
Esta obligación no se circunscribe únicamente a grandes infraestructuras; afecta tanto a un teléfono móvil como a un sensor conectado o un PLC industrial. La directora de ZIUR subrayó que se trata de una respuesta necesaria a una demanda social y gubernamental: ”Como ciudadanos, exigimos que los servicios y productos que compramos no pongan en peligro nuestra integridad física ni nuestros datos”.
Desde el ámbito legal, Andoni García explicó que la Ley de Ciberresiliencia (CRA) ya es una realidad tangible desde 2024, con plazos de aplicación gradual que comenzarán a exigir notificaciones en 2026. García advirtió sobre el peligro de mirar hacia otro lado en un contexto que exige a las empresas ponerse manos a la obra de forma inminente: “Esos plazos son una fecha límite a partir de la cual vamos a estar ya obligados; conviene ser conscientes de que ya tenemos que empezar a andar ese camino de cumplimiento”.
“O haces las cosas de manera cibersegura aplicando la normativa o estás fuera del mercado”
Preservar los cimientos de la sociedad
El abogado no solo se centró en lo puramente técnico; señaló que el reglamento busca preservar los cimientos de la sociedad europea: “Tiene como objetivo proteger un sistema político, un modo de vida y la propia democracia”.
Por su parte, Jon Kepa Gerrikagoitia, desde la alianza de centros tecnológicos BRTA, destacó que la ciberseguridad ha dejado de ser una preocupación exclusiva de los departamentos de informática (IT), ya que es un ámbito que atañe a todo el desarrollo del producto industrial. ”Ya no estamos hablando de IT. Estamos hablando de producto y de fabricantes de productos industriales conectados”.
La fortaleza de Euskadi
En opinión de Gerrikagoitia, Euskadi parte con ventaja. Centros como Ikerlan y Tecnalia llevan décadas trabajando en sistemas que combinan hardware y software, y ya cuentan con laboratorios con la capacidad de ceñirse al nuevo reglamento europeo de ciberseguridad.
La complejidad técnica del mismo es uno de los mayores retos. Esto no es como pasar la ITV de tu vehículo. La normativa exige una responsabilidad continua durante al menos cinco años, lo que obliga a los fabricantes a monitorizar vulnerabilidades y ofrecer actualizaciones. ”Las amenazas son constantes. Mañana surgirán nuevos desafíos y tu producto tiene que ser capaz de actualizarse”, advirtió Penilla. Esto implica que la seguridad debe ser una parte indisoluble del producto desde el primer boceto.
“La Ley de Ciberresiliencia nos marca unos plazos, pero tenemos que ponernos a trabajar ya”
Este escenario también afectará al ámbito de la ingeniería. Según Gerrikagoitia, el ingeniero actual debe integrar la ciberseguridad junto a la mecánica, la electrónica y el software. ”Tiene que hacerse preguntas que antes no se hacía. Ya no te puedes centrar exclusivamente en la latencia de las comunicaciones, sino también en qué trazabilidad estás dejando”, apuntó, al tiempo que expuso que es una buena noticia observar cómo hoy en día los profesionales de plantas industriales hablan con naturalidad de ciberseguridad, algo que hace una década era mucho menos frecuente.
Multas millonarias
No atenerse a la regla conlleva riesgos elevados, pues las sanciones por incumplimiento de la CRA pueden alcanzar millones de euros. García recordó que, más allá de las sanciones administrativas, las empresas también pueden incurrir en responsabilidad civil por productos defectuosos. Asimismo, en caso de que en el proceso de desarrollo del producto ocurra algún imprevisto, las organizaciones deben detectar con celeridad qué ha ido mal y comunicarlo.
“Queremos impulsar un polo de ciberseguridad industrial que nos convierta en referentes”
Red de apoyo
Con el objetivo de acompañar a las compañías en el camino, el ecosistema vasco ha desplegado una red de apoyo robusta. La Agencia Vasca de Desarrollo Empresarial (SPRI) ha incrementado notablemente sus ayudas, pasando de 4,5 millones a casi 15 millones de euros destinados a la ciberseguridad industrial. Por su parte, ZIUR ha lanzado un proyecto dotado con tres millones de euros para ayudar a las pymes de Gipuzkoa a realizar evaluaciones de producto. “Queremos impulsar un polo de ciberseguridad industrial de referencia, que nos permita convertirnos también en un referente para las empresas del conjunto del Estado”, adelantó Penilla.
Optimismo frente a los cambios
El mensaje final de los participantes del encuentro fue de optimismo. Aunque los plazos regulatorios apremian, las herramientas están disponibles. Así, la recomendación para las empresas que aún no se han enfocado en la normativa es clara: no esperar a mañana. ”Que empiecen ya, que pierdan el miedo. Con pequeñas cositas que hagas, vas a dormir un ochenta por ciento más tranquilo de lo que dormías ayer”, concluyó Penilla.
“Mañana surgirán nuevos desafíos y tu producto tiene que ser capaz de seguir siendo ciberseguro”
A corto plazo las empresas industriales deben poner el foco en consolidarse no solo como un fabricante de máquinas, sino como un referente en la creación de productos inteligentes, resilientes y, sobre todo, seguros para el mercado global.
