En una entrevista de junio de 2026 con el medio tecnológico francés Clubic, el director general de ANSSI, Vincent Strubel, describió una agenda de ciberseguridad que resulta llamativa menos por cualquier punto individual que por la cantidad de puntos exigentes que la ocupan a la vez (Belfiore 2026). En la misma conversación abordó el futuro del cifrado y el acceso legal, la cualificación de los proveedores de nube, una migración poscuántica que se extiende durante años hacia la próxima década, un organismo de coordinación de reciente creación para la gobernanza digital y una directiva que multiplicará la población de entidades reguladas por un factor de veinte o más. Leída con atención, la entrevista es menos un informe de situación que el retrato de una posición difícil sostenida con serenidad, y apunta a algo estructural sobre la ciberdefensa que conviene enunciar con claridad. La aplicación de la norma y la remediación, por su naturaleza, actúan a posteriori. Pueden dar forma a lo que ocurra a continuación, pero no pueden deshacer el incidente que las motivó. Esa sola observación reencuadra toda la cuestión de cómo se va a defender realmente una población regulada mucho mayor, y sugiere que la respuesta útil de la capacidad privada no es esperar a ser contratada, sino construir capacidad por anticipado hacia un objetivo que todos en el sector ya comparten.
El panorama regulatorio, y quién ostenta realmente cada mandato
La gobernanza ciberespacial de Francia y de la Unión Europea abarca ahora cuatro instrumentos legales solapados y, lo que es importante, ninguna autoridad ostenta las cuatro. La LPM (loi de programmation militaire) y NIS 2 (la segunda Directiva de Seguridad de las Redes y de la Información) recaen en el mandato directo de la propia ANSSI. La supervisión de DORA (Digital Operational Resilience Act) en Francia recae en la ACPR (Autorité de Contrôle Prudentiel et de Résolution) para bancos y aseguradoras y en la AMF (Autorité des Marchés Financiers) para gestoras de activos e infraestructuras de mercado (Autorité de Contrôle Prudentiel et de Résolution 2026; Autorité des Marchés Financiers 2026). La vigilancia del mercado bajo el CRA (Cyber Resilience Act) recae en la ANFR (Agence Nationale des Fréquences), actuando ANSSI únicamente como autoridad notificante responsable de acreditar a los organismos de evaluación de la conformidad, un papel distinto de la propia vigilancia del mercado (ANFR 2026; ANSSI 2026a). Como base operativa para el cumplimiento de NIS 2, ANSSI publicó el ReCyF (Référentiel Cyber France, versión 2.5) el 17 de marzo de 2026, estableciendo veinte objetivos de seguridad obligatorios (Ledieu-Avocats 2026).
Este mapeo importa por una razón práctica y una razón justa. En lo práctico, un lector que se mueve entre cuatro marcos necesita saber a qué autoridad dirigirse para cada cuestión. En lo justo, deja establecido que ANSSI está coordinando una postura nacional entre regímenes que no controla individualmente, lo cual es parte de lo que hace que su posición sea difícil y no deficiente.
La forma de un mandato duro y multifrente
La forma más exacta de leer la entrevista de Strubel es como una descripción de concurrencia. Varios programas exigentes están activos en el mismo momento, cada uno con su propio reloj. La cuestión del cifrado y el acceso legal es una que el propio Strubel caracteriza como en última instancia política y no técnica, lo que sitúa su resolución fuera del control de ingeniería de cualquier agencia y dentro de la maquinaria más lenta de la legislación y el debate público (Belfiore 2026). La migración poscuántica es una transición criptográfica de varios años que afecta a toda organización que custodie datos confidenciales de larga vida. La creación de un nuevo organismo de coordinación señala un intento de consolidar la gobernanza digital en lugar de dejar que se fragmente aún más. Y por debajo de todo ello corre la expansión del ámbito de NIS 2, que Strubel sitúa en un paso de aproximadamente 500 entidades reguladas a un estimado de entre 10.000 y 15.000 (Belfiore 2026).
Cualquiera de estos sería un programa sustancial por sí solo. Llevados en conjunto, entre regímenes de los cuales solo dos controla directamente ANSSI, describen un mandato genuinamente difícil de sostener bien. ANSSI ha sido franca y coherente sobre cómo lo sostiene: mediante una postura orientada al acompañamiento y guiada por la orientación, en lugar de la ficción de un agente apostado detrás de cada servidor. Esa es una elección racional bajo restricciones reales, y este artículo la toma exactamente como tal, una estrategia legítima para un cometido difícil, no como prueba de que algo falte.
La aplicación de la norma es reactiva por construcción
De ese mandato se sigue una observación que es estructural más que evaluativa. La aplicación de la norma y la remediación son, por su naturaleza, cosas que ocurren después. Un hallazgo de auditoría documenta un estado que ya existe. Una sanción responde a una brecha que ya ha ocurrido. Una orden de remediación restaura un sistema que ya ha fallado. Cada uno de estos instrumentos es valioso, y cada uno da forma al comportamiento futuro, pero ninguno de ellos puede retroceder y evitar el suceso que lo desencadenó. Esto no es una propiedad de ANSSI ni de ningún regulador en particular. Es una propiedad de la aplicación de la norma en sí misma.
El corolario merece enunciarse de manera directa, porque es fácil pasarlo por alto. ANSSI no es, ni puede serlo estructuralmente, una agencia de remediación en el sentido de un organismo que defienda los sistemas en el momento en que un ataque está en curso. Ninguna autoridad de aplicación puede serlo. La ciberdefensa en tiempo real, la detección, contención y recuperación reales que ocurren mientras un incidente está vivo, se lleva a cabo dentro de las organizaciones afectadas y por los profesionales y las herramientas que tienen a mano en ese momento. La aplicación de la norma fija el estándar al que se somete a esas organizaciones. No sustituye, ni puede sustituir, a la capacidad que necesitan cuando el estándar se pone a prueba. Reconocer esto no es una crítica a cuánto aplique nadie la norma. Es una aclaración de para qué sirve la aplicación de la norma.
Qué requiere defender un ecosistema veinte veces mayor
Junte los dos puntos anteriores. La población de entidades que se espera que se defiendan a sí mismas está creciendo por un factor de veinte o más, y el instrumento primario que el Estado puede desplegar, la aplicación de la norma, es por construcción incapaz de hacer la defensa por sí mismo. La defensa en la práctica depende, por tanto, de algo que la aplicación de la norma no puede fabricar por encargo: la capacidad. Personas que sepan implementar y operar los controles. Herramientas que hagan la evidencia continua en lugar de reunida a las apuradas antes de una auditoría. Formación que llegue a una organización antes de que se encuentre dentro del ámbito y no después. Y todo ello tiene que existir por anticipado, porque la capacidad construida después de un incidente está, por definición, construida demasiado tarde para ese incidente.
La orientación pública es una parte real de esta respuesta y debe reconocerse como tal. Los propios materiales de acompañamiento de ANSSI bajo ReCyF, incluidos documentos de orientación, seminarios web y una obligación de formación escrita en el referencial, apuntan directamente a ayudar a las organizaciones a construir capacidad antes de que lleguen las fechas de aplicación (ANSSI 2026b). Pero la aritmética de una expansión por un factor de veinte es implacable, y ninguna institución aislada, por bien gestionada que esté, puede suministrar toda la curva de formación, herramientas y personal para un ecosistema de ese tamaño en el calendario que fija la regulación. Eso no es fallo de nadie. Es un problema compartido, y conviene tratarlo como tal.
Existe todo un cuerpo desarrollado de ciencias de la gestión detrás de este problema de temporalidad. Trabajando en la tradición de la dinámica de sistemas (Sterman 2000), John Sterman y Nelson Repenning, en el Massachusetts Institute of Technology, formalizaron lo que llaman la trampa de la capacidad: una organización que invierte en construir capacidad ve caer su desempeño antes de que mejore, la trayectoria de peor antes de mejor, mientras que una que simplemente se esfuerza más obtiene un alivio a corto plazo antes de que su desempeño se erosione, la trayectoria de mejor antes de peor, una divergencia que su modelo traza como dos curvas de capacidad que se separan con el tiempo (Repenning and Sterman 2002). Su estudio anterior enuncia el obstáculo humano ya en su título: nadie recibe jamás crédito por resolver problemas que nunca ocurrieron (Repenning and Sterman 2001). Frente a la próxima expansión del ámbito de NIS 2, la implicación es directa. La capacidad de defender un ecosistema veinte veces mayor tiene que construirse por la trayectoria de peor antes de mejor, por delante de los incidentes que previene y precisamente cuando ninguna crisis visible justifica todavía el gasto. Los lectores que quieran ver la dinámica por sí mismos pueden recorrerla de forma interactiva en el módulo 13 del curso de dinámica de sistemas de CCI, sobre la trampa de la capacidad.
El socio benevolente: construir capacidad sin esperar a que lo pidan
Aquí es donde la capacidad privada tiene un papel que no depende de ser contratada para desempeñarlo. Una firma con contenidos de formación, con herramientas o con profesionales cualificados tiene una razón para invertir en construir y compartir esa capacidad ahora, con independencia de cualquier contrato específico, encargo de auditoría o desencadenante regulatorio, por una razón simple: el objetivo compartido, una ciberdefensa que funcione de verdad en un ecosistema veinte veces mayor de lo que era, se ve servido por esa inversión sin importar quién pague en última instancia por qué. Un socio que actúa según ese razonamiento, aportando capacidad porque el problema es real y no porque haya una transacción sobre la mesa, es lo que este artículo entiende por socio benevolente. La palabra está empleada de forma literal, no decorativa. La prueba de ello es si la contribución resulta útil a una organización tanto si esa organización llega a ser cliente como si no.
Cambridge Cyber International (CCI) tiene la intención de actuar como uno de esos socios, y es franca en que es uno más entre muchos que podrían y deberían. Su postura es deliberadamente simple: educar, formar y equipar, en lugar de asignar culpas. En la práctica eso se resuelve en dos cosas que ya ha construido. La primera es su Academy, cuya formación resulta útil a cualquier organización que construya las competencias cibernéticas que sus equipos van a necesitar, con independencia de dónde esa organización obtenga después el resto de su capacidad. La segunda es la suite CySSURANCE, que traslada la misma idea al plano de las herramientas al reunir en un solo lugar una serie de funciones de preparación: recopilación automatizada de evidencia, modelado de arquitectura empresarial, cálculo de resiliencia, evaluación de pérdidas financieras, valoración de plantilla, ejercicios de tecnologías de la información y la comunicación (ICT), remediación priorizada, gestión de proveedores, preparación de auditorías y cuadros de mando a nivel de consejo. Tomados en conjunto, educación, formación y herramientas responden a las cargas de preparación para auditorías y de fuerza laboral que la expansión del ámbito multiplica, que es precisamente el trabajo que hay que hacer por anticipado y no después de un incidente. Se nombran aquí como un ejemplo del argumento, no como su propósito. El argumento se sostiene tanto si el lector contrata a CCI, contrata a uno de sus pares o construye la capacidad enteramente en casa.
Contraargumentos y limitaciones
La objeción obvia es que una firma que describe sus propias ofertas como contribución benevolente está sencillamente haciendo publicidad con mejores modales. La objeción merece una respuesta real y no una tranquilización. La respuesta es una prueba que el lector puede aplicar: la contribución, ¿ayuda a una organización que nunca compra nada? Formación que eleva la preparación de un equipo tanto si conduce a un contrato como si no, orientación que es exacta tanto si se monetiza como si no, y honestidad sobre cuándo un competidor o una construcción interna es la mejor opción, todo eso supera la prueba; un recurso que es inútil salvo que se compre no la supera. Los lectores tienen derecho a sostener este artículo, y a CCI, ante ese estándar.
Una segunda objeción es que la capacidad privada no puede sustituir a la autoridad pública, y no debería intentarlo. Esto es correcto, y nada aquí lo propone. El argumento es complementario, no sustitutivo. El mandato de ANSSI, la fijación de estándares y la coordinación son precisamente las cosas que los actores privados no pueden ni deben proporcionar. La afirmación es más estrecha: que la defensa en tiempo real que la aplicación de la norma no puede realizar se construye a partir de capacidad, y que esa capacidad puede y debe aportarse desde más de una dirección.
Una tercera limitación, más prosaica, concierne a la fuente. Una entrevista no es un instrumento legal, y las cifras y fechas concretas, incluidos los números exactos del ámbito y el estado de la ley de transposición de NIS 2, deberían contrastarse con los textos primarios una vez que sean definitivos. El calendario de transposición en particular recae en el Parlamento francés y no en ninguna agencia ejecutiva. Nada de esto cambia el argumento estructural, que no descansa sobre ninguna fecha individual, pero es motivo para verificar los detalles antes de actuar sobre ellos.
Implicaciones para la práctica o la política
Para un consejo o un CISO, la consecuencia práctica de tratar la defensa como algo construido por anticipado y no impuesto a posteriori es un cambio en la secuenciación. Las decisiones de capacidad, a quién se forma, qué herramientas hacen continua la evidencia, cómo escala la plantilla, se adelantan, antes de la fecha de aplicación en lugar de en respuesta a ella. En concreto, eso significa empezar la preparación de la fuerza laboral antes de que se confirme la inclusión en el ámbito, tratar la recopilación continua de evidencia como una capacidad permanente y no como un esprint previo a la auditoría, y planificar la plantilla frente a un mercado laboral que estará más tenso justo cuando la mayor cohorte de entidades recién reguladas busque las mismas competencias.
Para los actores privados con capacidad relevante, la implicación es una invitación a contribuir por adelantado a la demanda: hacer que la educación, la formación y las herramientas sean útiles con independencia de una venta, y decirlo con claridad. La Academy de CCI y su suite CySSURANCE se ofrecen con ese espíritu, como opciones entre varias y no como el único camino, y la elección de proveedor importa mucho menos que el hecho de construir capacidad antes de que se necesite.
Para la relación público-privada en su conjunto, la implicación es un cambio de registro. El marco productivo es un objetivo compartido, una ciberdefensa que funcione en la práctica, en lugar de un libro de cuentas sobre quién hizo o no hizo lo suficiente. Su expresión práctica es directa: educar, formar y equipar por anticipado a la necesidad, en lugar de repartir culpas después de los hechos. La aplicación de la norma y la contribución no son competidoras. Son partes distintas del mismo empeño.
Conclusión
ANSSI mantiene un cometido genuinamente difícil, cuatro regímenes legales, un debate político que no puede resolver en solitario, una migración criptográfica de varios años, un nuevo organismo de coordinación y una población regulada que crece por un factor de veinte, y lo mantiene con una estrategia coherente, orientada primero a la guía, elegida bajo restricciones reales. Leer su posición con honestidad conduce a una conclusión estructural más que crítica: dado que la aplicación de la norma solo puede actuar después de un incidente, la defensa que importa en el momento se construye antes, a partir de capacidad que tiene que existir por anticipado. Esa capacidad es un problema compartido, más grande que cualquier institución aislada, y se atiende mejor por parte de todos los que puedan contribuir a ella, desde más de una dirección, al servicio de un objetivo que todo el sector ya sostiene en común. La postura útil para la capacidad privada, entonces, no es esperar a ser contratada, sino construir y compartir por adelantado a la demanda, sin esperar nada en particular a cambio, porque un ecosistema mejor defendido es la recompensa. La ciberdefensa se construye antes del incidente. El trabajo que vale la pena hacer es la construcción.
Por dónde empezar
Si sus equipos están construyendo preparación cibernética para lo que viene, CCI Academy es un punto de partida abierto, tanto si vuelve a trabajar con CCI más adelante como si no. Su formación es útil por sí misma. Considérela una puerta abierta y no un destino.
References
Agence Nationale des Fréquences (2026). Cyber Resilience Act. https://www.anfr.fr/proteger/equipements-radio-electriques/cyber-resilient-act
ANSSI, cyber.gouv.fr (2026a). Cyber Resilience Act. https://cyber.gouv.fr/reglementation/cybersecurite-des-produits/cyber-resilience-act/
ANSSI, cyber.gouv.fr (2026b). NIS 2: l'ANSSI poursuit et renforce sa dynamique d'accompagnement. https://cyber.gouv.fr/actualites/nis-2-lanssi-poursuit-et-renforce-sa-dynamique-daccompagnement/
Autorité de Contrôle Prudentiel et de Résolution (2026). FAQ sur la directive et le règlement DORA. https://acpr.banque-france.fr/fr/reglementation/focus-sur-la-reglementation/transverse/digital-operational-resilience-act-dora/faq-sur-la-directive-et-le-reglement-dora
Autorité des Marchés Financiers (2026). The Regulation on Digital Operational Resilience in the Financial Sector (DORA). https://www.amf-france.org/en/news-publications/depth/dora
Belfiore, G. (2026). Chiffrement vs Police: "Le choix sera politique", prévient le patron de l'ANSSI. Clubic. https://www.clubic.com/dossier-618682-interview-anssi.html
Ledieu-Avocats (2026). ANSSI, projet de décret NIS2 "mesures techniques" v2.5, ReCyF du 17 mars 2026. https://ledieu-avocats.fr/anssi-projet-decret-nis2-mesures-techniques-v2-5-recyf-du-17-mars-2026/
Repenning, N. P., and Sterman, J. D. (2001). Nobody ever gets credit for fixing problems that never happened: creating and sustaining process improvement. California Management Review, 43(4), 64 to 88. https://doi.org/10.2307/41166101
Repenning, N. P., and Sterman, J. D. (2002). Capability traps and self-confirming attribution errors in the dynamics of process improvement. Administrative Science Quarterly, 47(2), 265 to 295. https://doi.org/10.2307/3094806
Sterman, J. D. (2000). Business Dynamics: Systems Thinking and Modeling for a Complex World. Boston: Irwin McGraw-Hill. https://systemdynamics.org/product/business-dynamics-systems-thinking-and-modeling-for-a-complex-world/