EAR/ITAR, ENS, NIS2… Las alianzas estratégicas como pilar del cumplimiento normativo

La reciente jornada SecurityGune 2025, organizada por Hegan, el Clúster Aeroespacial Vasco, no fue un evento más en el calendario industrial. Fue una llamada de atención. En el Parque Tecnológico de Zamudio, expertos de primer nivel de Deloitte, Grupo Oesía, Tecnalia, ZIUR, y el socio estratégico de Compitte, Bullhost, dibujaron un panorama que trasciende los debates sectoriales para revelar una nueva realidad para la industria española. 

El mensaje fue inequívoco: se han difuminado los límites que tradicionalmente separaban el cumplimiento normativo en el comercio exterior, la defensa o la ciberseguridad. Nos adentramos en una era de riesgo convergente, donde el acceso a mercados y la propia supervivencia de una empresa dependen de su capacidad para dominar un complejo tapiz de regulaciones.

Dominar el cumplimiento normativo tradicional para el acceso a los mercados

En un mundo cada vez más polarizado, las normativas que regulan el comercio de tecnologías sensibles o el acceso a contratos de defensa se han convertido en herramientas de primer orden en la arena geopolítica. Ignorarlas no es una opción; es una sentencia de exclusión.

La ponencia de Deloitte en SecurityGune arrojó una luz clara sobre un área que a menudo se percibe como opaca: el control de exportaciones. Las regulaciones estadounidenses ITAR (International Traffic in Arms Regulations) y EAR (Export Administration Regulations) son los dos pilares de este sistema. ITAR rige de forma estricta todo lo relacionado con artículos, servicios y tecnología de defensa, mientras que EAR abarca los llamados productos de «doble uso»: aquellos con aplicaciones civiles, pero con potencial uso militar o estratégico.

El punto más crítico para cualquier empresa española es comprender su alcance extraterritorial, porque no estar establecido en EE. UU. no exime del cumplimiento. La aplicabilidad se determina por el «nexo» con Estados Unidos, un concepto amplio que puede activarse de múltiples formas: si en la operación participa una «U.S. Person» (una matriz, filial o incluso un empleado con residencia o ciudadanía estadounidense), si el producto final integra tecnología de origen estadounidense, o si se transfieren datos técnicos intangibles como planos o software. En la práctica, esto significa que la jurisdicción legal de EE. UU. se extiende profundamente en la cadena de suministro industrial europea.

Las consecuencias de un fallo en este ámbito son devastadoras y van mucho más allá de una simple multa. Hablamos de sanciones económicas que pueden superar los 10 millones de dólares, la exclusión de contratos públicos, la inclusión en listas negras internacionales (una auténtica muerte a pellizcos comercial) o la pérdida de autorizaciones aduaneras clave como la de Operador Económico Autorizado (OEA). A nivel individual, la responsabilidad recae directamente sobre los directivos y empleados, que pueden enfrentarse a inhabilitación profesional e incluso a penas de prisión en Estados Unidos, como bien dibujó Deloitte en su ponencia.

Este marco regulatorio no es estático; es un instrumento dinámico de política exterior. La presentación destacó el creciente uso de estos controles para imponer restricciones a países como China y Rusia. Este hecho revela una verdad fundamental: el cumplimiento de ITAR y EAR ha trascendido la mera obligación legal para convertirse en una declaración de alineamiento geopolítico. En el contexto de la bifurcación de las cadenas de suministro globales promovida por EE. UU. (que busca fortalecer los lazos comerciales con «socios de confianza»), demostrar un cumplimiento riguroso es un requisito indispensable para ser considerado uno de ellos. 

Para una empresa aeroespacial española, ser «ITAR compliant» no es un coste, es la llave de acceso a tecnología, componentes y mercados de defensa estadounidenses que están herméticamente cerrados para competidores no alineados. El cumplimiento se convierte, así, en una formidable barrera de entrada y una ventaja competitiva decisiva.

Las llaves del reino se llaman HSEM, HSES y HPS

Si ITAR y EAR son las puertas de acceso al mercado global, las habilitaciones de seguridad españolas son las llaves para acceder al corazón del sector de la defensa nacional y de la OTAN. Y la jornada también detalló este trío de certificaciones, indispensables para cualquier empresa que aspire a manejar información clasificada.

– HSEM (Habilitación de Seguridad de Empresa): es la autorización fundamental a nivel de compañía, que acredita su solvencia, fiabilidad y capacidad para custodiar secretos de Estado. Es el primer paso ineludible.

– HSES (Habilitación de Seguridad de Establecimiento): desciende al nivel físico, certificando que una instalación específica (una oficina, un laboratorio, una sala de servidores) cumple con las exigentes medidas de seguridad física y electrónica para almacenar material clasificado.

– HPS (Habilitación Personal de Seguridad): se centra en las personas. Es una acreditación individual que se concede tras una exhaustiva investigación de seguridad a aquellos empleados que, por su «necesidad de conocer», deban acceder a información sensible.

Obtener y mantener este conjunto de certificaciones representa una inversión considerable en infraestructura, procesos y personal. Esta carga regulatoria, sumada a la de los controles de exportación y, como veremos, a la de la ciberseguridad, está reconfigurando silenciosamente la estructura de la cadena de suministro. Los grandes contratistas principales (OEMs) y los proveedores de primer nivel (Tier-1), que son legalmente responsables de la seguridad de sus subcontratistas, se enfrentan a un riesgo y un coste inasumibles si deben auditar a cientos de pymes con distintos niveles de madurez. 

La consecuencia lógica es una «huida hacia la calidad»: una consolidación del mercado donde se favorece a un número menor de «super-proveedores» que puedan demostrar un cumplimiento integral y robusto. Las pymes que inviertan en esta capacidad de cumplimiento se convertirán en socios estratégicos indispensables, mientras que aquellas que no puedan afrontar la complejidad y el coste corren el riesgo de ser marginadas.

Afrontando de una vez por todas el imperativo de la ciberseguridad

Si la primera parte del tablero de juego se define por la geopolítica y los controles físicos, la segunda se libra en el ciberespacio. La mesa redonda de SecurityGune, con la participación de Bullhost, marcó un punto de inflexión en la jornada, dejando claro que la ciberseguridad ya no es un anexo técnico, sino el eje central sobre el que pivota el riesgo industrial moderno.

Así lo pone de manifiesto la Directiva (UE) 2022/2555, conocida como NIS2, que representa un cambio de paradigma en la legislación europea de ciberseguridad. Entró en vigor en enero de 2023 y los Estados miembros, incluida España, debían haberla transpuesto a su legislación nacional antes del 18 de octubre de 2024. Su impacto es profundo por varias razones.

Primero, su ámbito de aplicación se ha expandido drásticamente. A diferencia de su predecesora, NIS2 afecta a 18 sectores, introduciendo una distinción entre «Entidades Esenciales» (como energía, transporte o sanidad) y «Entidades Importantes» (donde se incluyen la fabricación, los servicios postales o la gestión de residuos). Esto significa que miles de empresas industriales españolas, que hasta ahora operaban fuera del radar regulatorio en materia de ciberseguridad, están ahora obligadas a cumplir con requisitos muy estrictos.

Segundo, la directiva impone una lista mínima de medidas de gestión de riesgos de ciberseguridad que son de obligado cumplimiento. No son sugerencias, son mandatos legales. Las empresas deben implementar políticas claras sobre análisis de riesgos, gestión de incidentes, planes de continuidad de negocio o crisis; y, de manera crucial, seguridad en la cadena de suministro. Este último punto obliga a las empresas a evaluar y gestionar activamente los riesgos de ciberseguridad que presentan sus proveedores directos, extendiendo la responsabilidad a lo largo de toda la cadena de valor.

Tercero, establece un régimen de notificación de incidentes extraordinariamente exigente. Ante un «incidente significativo» (aquel que cause o pueda causar graves perturbaciones operativas o pérdidas económicas), la entidad afectada debe emitir una «alerta temprana» a la autoridad competente (en España, el INCIBE-CERT será uno de los actores clave) en un plazo máximo de 24 horas. A esta le sigue una notificación más detallada en 72 horas y un informe final en el plazo de un mes. Cumplir con estos plazos requiere una capacidad de detección y respuesta a incidentes altamente madura y ensayada.

El consejo de administración toma el mando (y la responsabilidad)

Posiblemente, el aspecto más transformador de la NIS2 es que eleva la ciberseguridad a la máxima instancia de gobierno corporativo. El artículo 20 de la directiva es claro y meridiano: los «órganos de dirección» de las empresas afectadas deben aprobar y supervisar las medidas de ciberseguridad y pueden ser considerados personalmente responsables por los incumplimientos.

Esto crea, de facto, un nuevo deber para los consejos de administración. La ciberseguridad deja de ser un problema delegado al departamento de TI para convertirse en una responsabilidad de la alta dirección, equiparable a la supervisión financiera o el cumplimiento legal. La directiva incluso exige que los directivos reciban formación específica en ciberseguridad para poder ejercer esta responsabilidad con la debida diligencia.

Para asegurar que este mensaje cale, las sanciones son de una dureza sin precedentes, diseñadas para ser disuasorias y equiparables a las del RGPD: multas de hasta 10 millones de euros o el 2% de la facturación mundial total del ejercicio anterior, la cuantía que sea mayor. Además de las multas, las autoridades pueden emitir órdenes vinculantes y, en el caso de las entidades esenciales, suspender temporalmente de sus funciones a directivos como el Director General o su representante legal.

Esta nueva realidad fuerza una convergencia inevitable entre los roles del Director de Seguridad de la Información (CISO), el Director de Riesgos (CRO) y el departamento legal. En un entorno industrial, un ciberataque (como un ransomware que paralice una planta de producción) no es solo una brecha de datos; es un evento físico con consecuencias operativas (parada de producción), financieras (pérdidas por interrupción de negocio) y legales (incumplimiento de NIS2), que activa pólizas de seguros de daños, responsabilidad civil y ciberriesgos. 

Un Director de Seguridad que solo habla de tecnología, un Responsable de Riesgos que no entiende la amenaza ciberfísica o un consejo de administración que lo considera «un tema de informáticos frikis» operan con una ceguera que la ley ya no permite. La gestión de este riesgo convergente exige un nuevo perfil de liderazgo capaz de traducir el riesgo técnico en impacto de negocio y estrategia de mitigación.

La necesidad de las alianzas estratégicas en ciberseguridad

La jornada SecurityGune 2025 ha dejado una conclusión rotunda: la industria española, y en particular sectores estratégicos como el aeroespacial y de defensa, se encuentra en el epicentro de una convergencia de riesgos y regulaciones sin precedentes. La tarea de navegar simultáneamente las exigencias geopolíticas de EAR/ITAR, los protocolos de seguridad de las certificaciones de defensa y los mandatos de ciberseguridad de NIS2 es un desafío de una complejidad abrumadora. Y el coste de la inacción es sencillamente inasumible.

En este entorno, el viejo paradigma de la gestión de riesgos reactiva ha quedado obsoleto. El nuevo imperativo es la defensa estratégica: un modelo de negocio diseñado no solo para sobrevivir a las disrupciones, sino para anticiparlas, adaptarse y prosperar en ellas. Significa tratar el cumplimiento no como una carga, sino como un diferenciador competitivo que genera confianza en clientes, socios e inversores.

Ninguna empresa puede ser experta en todos estos dominios. Alcanzar una verdadera resiliencia requiere un ecosistema de socios de confianza. Entender las complejidades de la ingeniería de riesgos, descifrar los marcos de cumplimiento y diseñar programas de seguros optimizados que transfieran eficazmente el riesgo residual es la especialidad de una firma como Compitte.

Sin embargo, en la era digital, la gestión de riesgos está incompleta sin una ciberdefensa de primer nivel. Es precisamente por esta razón que Compitte ha forjado una alianza estratégica con Bullhost, una firma líder en servicios de ciberseguridad capaz de proporcionar el escudo tecnológico esencial y más allá: desde la detección y respuesta avanzada a amenazas hasta el diseño de arquitecturas de red seguras y la consultoría para el cumplimiento de normativas como NIS2. 

Esta alianza combina la experiencia de Compitte en los seguros industriales con las capacidades de vanguardia de Bullhost en ciberseguridad. Juntos, ofrecemos una solución unificada y de 360 grados, permitiendo a las empresas industriales españolas transformar el inmenso desafío del cumplimiento convergente en una ventaja estratégica que asegure sus operaciones, sus mercados y su futuro.

La unión hace la fuerza

Porque este desafío normativo, por su propia naturaleza multidimensional, exige una respuesta basada en la cooperación y la inteligencia colectiva. El propio evento SecurityGune fue la prueba fehaciente de que la fortaleza reside en el ecosistema, no en actores aislados. La visión estratégica global de consultoras como Deloitte, la profunda experiencia industrial de tecnólogas como Grupo Oesía, la innovación puntera de centros como Tecnalia o el tejido de ciberseguridad que impulsan iniciativas como Ziur, son activos de un valor incalculable. 

Desde Compitte, entendemos que nuestro rol como gerentes de riesgos implica también actuar como un nexo de confianza. Fieles a este espíritu, mantenemos siempre una puerta abierta para orquestar soluciones que integren las aportaciones de estos y otros posibles aliados, buscando la combinación de capacidades más potente para cada desafío específico de nuestros clientes.

Forjar alianzas estratégicas con socios que comprendan la naturaleza híbrida de estos nuevos riesgos ya no es una opción, sino el fundamento de la competitividad. Y en esta nueva frontera, la capacidad para elegir a los compañeros de viaje adecuados será el factor que distinga a las empresas que lideran de las que se quedan atrás.