Subscribe
Una carencia objetiva de competencias que cubrir
En los últimos años, la ciberseguridad se ha convertido en una de las principales preocupaciones de la Unión Europea. La creciente complejidad de las ciberamenazas y la vulnerabilidad de las infraestructuras críticas exigen un compromiso cada vez mayor para garantizar la resiliencia digital del continente. Sin embargo, uno de los principales obstáculos que hay que superar es el déficit de competencias en el sector de la ciberseguridad, que limita la capacidad de los Estados miembros para responder eficazmente a las ciberamenazas.
La UE ha adoptado varias medidas legislativas para reforzar la ciberseguridad de sus infraestructuras críticas. Entre las normativas más relevantes encontramos:
Reglamento (UE) 2019/881 – Ley de Ciberseguridad: introduce un marco de certificación para los productos, servicios y procesos TIC, reforzando el papel de la Agencia Europea de Ciberseguridad (ENISA).
Reglamento (UE) 2022/2554 – DORA: regula la resistencia operativa de las infraestructuras digitales del sector financiero.
Directiva (UE) 2022/2555 – Directiva NIS2: amplía y refuerza las medidas de ciberseguridad introducidas por la primera Directiva NIS.
Directiva (UE) 2022/2557 – Directiva CER: establece requisitos de resiliencia para sectores críticos esenciales para la economía y la sociedad.
Reglamento (UE) 2024/2847 – Ley de Ciberresiliencia: introduce normas más estrictas para la seguridad de los dispositivos y programas informáticos conectados al mercado de la UE.
Estas normativas representan un gran paso adelante en la protección de las infraestructuras críticas, pero su eficacia depende en gran medida de la disponibilidad de profesionales cualificados capaces de aplicarlas y gestionarlas. A pesar de la importancia de la ciberseguridad, el sector sufre una importante escasez de profesionales especializados. Según la Agencia de Ciberseguridad de la Unión Europea (ENISA), el déficit de cualificación es uno de los principales retos emergentes y, si no se aborda adecuadamente, podría convertirse en la segunda amenaza más crítica para la ciberseguridad en 2030.
Esta escasez afecta especialmente a la gestión de la seguridad de las infraestructuras críticas, que requiere competencias avanzadas en TI, Tecnología Operativa (OT) y Sistemas de Control Industrial (ICS). Además, los profesionales de la ciberseguridad deben conocer a fondo la normativa europea, que incluye requisitos específicos para el cumplimiento de la normativa y la gestión de riesgos. El reto se ve agravado por el hecho de que muchas pequeñas y medianas empresas (PYME), que constituyen la columna vertebral de la economía europea, no disponen de recursos para formar adecuadamente a su personal en ciberseguridad. Esto las hace especialmente vulnerables a los ciberataques.
Para abordar esta cuestión, la UE debe invertir en programas de formación multidisciplinares que combinen competencias técnicas, estratégicas y jurídicas. La ciberseguridad ya no es sólo una cuestión tecnológica, sino que también afecta a aspectos normativos, económicos y estratégicos. Por ejemplo, un profesional de la ciberseguridad debe ser capaz de evaluar no sólo los riesgos técnicos de un ciberataque, sino también las implicaciones jurídicas y las consecuencias económicas para la empresa o entidad afectada. En algunos casos, la aplicación inmediata de protocolos de seguridad estándar podría tener consecuencias negativas. Por ejemplo, desactivar una red de telecomunicaciones comprometida para contener un ataque de malware podría obstaculizar las comunicaciones de emergencia de las autoridades. Del mismo modo, interrumpir el funcionamiento de un sistema sanitario atacado podría poner en peligro la vida de los pacientes.
Por esta razón, la formación debe incluir escenarios de crisis realistas, en los que los profesionales puedan aprender a equilibrar la ciberprotección con la continuidad empresarial y el interés nacional. Para responder a este reto, la UE ha promovido varias iniciativas para incentivar la formación de expertos en ciberseguridad. Entre ellas se incluyen:
Programas financiados por la UE
El Parlamento Europeo ha pedido la creación de programas de formación accesibles, financiados con fondos europeos, para desarrollar competencias en áreas emergentes de la ciberseguridad.
Ciberhubs
Iniciativa financiada por la UE que pretende mejorar el ecosistema de competencias profesionales en el sector de la ciberseguridad, mediante asociaciones entre universidades, empresas e instituciones.
Cooperación público-privada
La Comisión Europea ha fomentado la creación de polos de innovación que puedan impulsar la colaboración entre empresas e instituciones de investigación para desarrollar nuevas competencias.
Lanzamiento de la Academia Europea de Competencias en Ciberseguridad
Una iniciativa para proporcionar formación continua y especializada a los profesionales del sector, mejorando el acceso a vías de aprendizaje avanzadas.
La ciberseguridad de las infraestructuras críticas es una prioridad para la Unión Europea, pero para garantizar una protección eficaz es necesario invertir en una mano de obra altamente cualificada. La escasez de cualificaciones es una de las principales vulnerabilidades de la UE en el contexto de la ciberseguridad y debe abordarse urgentemente mediante programas de formación específicos y multidisciplinares. Europa ya ha tomado importantes medidas para reforzar su resiliencia digital, pero sin profesionales adecuadamente formados, la eficacia de estas políticas sigue siendo limitada. Invertir en la formación de expertos en ciberseguridad no es sólo una necesidad actual, sino un elemento clave para garantizar la competitividad y la seguridad del continente a largo plazo.
Alessandro Fiorentino