El ejercicio 2025 se consolida como un año de elevada intensidad estratégica, marcado por el esfuerzo continuado de las organizaciones por mejorar sus procesos internos mediante la adopción tecnológica y el uso de herramientas basadas en inteligencia artificial. En paralelo, los CISOs y responsables de seguridad, tanto del sector privado como del ámbito público, han operado en un entorno de creciente presión regulatoria, derivada de la implementación del Reglamento Europeo de Inteligencia Artificial y de un conjunto cada vez más amplio de normativa europea y nacional.

En este contexto, la ciberseguridad se reafirma como un eje estructural del ecosistema digital europeo y como un factor crítico de competitividad, estabilidad económica y resiliencia nacional. La consolidación de comunidades expertas, el intercambio de conocimiento especializado, el desarrollo de guías técnicas, programas formativos y certificaciones profesionales se han convertido en palancas esenciales para acompañar a las organizaciones en este proceso de transformación y adaptación normativa, en un entorno donde el riesgo sistémico se ha incrementado de forma significativa.

El mensaje que se ha proyectado a lo largo de este ejercicio ha sido inequívoco: la ciberseguridad debe integrarse como un elemento estratégico en cualquier entidad. Apostar por políticas activas y resilientes en esta materia ha dejado de ser una opción para convertirse en una condición necesaria para competir y consolidarse en los mercados actuales.

La próxima transposición de la Directiva NIS2 se perfila como un catalizador clave para avanzar hacia una cultura de ciberseguridad más madura en España. Este nuevo marco refuerza el papel del CISO dentro de las organizaciones, establece responsabilidades directas en los órganos de dirección y sitúa como prioridad estratégica el fortalecimiento de la cadena de suministro para reducir la exposición a ciberincidentes. La aprobación de una Ley de Ciberseguridad constituye, en este sentido, un elemento estructural pendiente, especialmente en comparación con otros países del entorno europeo. Su desarrollo será un hito relevante por analizar a lo largo de 2026.

Este dossier recopilatorio de 2025 incorpora las reflexiones de dos expertos de referencia del sector: Francisco Lázaro, CISO y DPO de Renfe y miembro de la Junta Directiva de ISMS Forum, y Carlos Saiz, vicepresidente de ISMS Forum, director del Data Privacy Institute (DPI) y Partner and Head of Privacy & Compliance en Ecix Group. Sus aportaciones permiten articular una visión integrada de los principales retos, aprendizajes y tendencias que han marcado el ejercicio.

Francisco Lázaro profundiza en las amenazas más relevantes a las que se han enfrentado tanto empresas privadas como entidades públicas, abordando también episodios significativos como el apagón del pasado 28 de abril, que dio lugar a una mesa redonda específica en el II Cyber Resilience Forum. En este marco, la resiliencia emerge como un factor clave para garantizar la continuidad operativa de los negocios. Asimismo, analiza la evolución del marco legal en la Unión Europea y en España, cada vez más exigente, a la espera de la transposición de la Directiva NIS2.

Por su parte, el análisis de Carlos Saiz se centra en los principales aprendizajes del año y en las tendencias estratégicas que han definido 2025. Un ejercicio en el que organizaciones públicas y privadas han intensificado sus esfuerzos de preparación para la implementación de NIS2, aún pendiente de culminarse, en un contexto de incremento notable de los ciberincidentes. En este escenario, se introduce el concepto deprosiliencia como enfoque orientado a reforzar la prevención y a impulsar mejoras estructurales en los planes de continuidad de negocio de empresas y entidades públicas.

2- Panorama de Amenazas 2025

En cuanto al panorama de amenazas de este 2025, Francisco Lázaro, CISO y DPO de Renfe y miembro de la Junta Directiva de ISMS Forum, destaca que al Ransomware como principal vector de disrupción. “Junto a esta práctica incluiría coincidiendo con el informe de Microsoft, los asociados al de la identidad como vector principal; el robo de credenciales y los ataques a sistemas de identidad, como la puerta de entrada más común, e incluso todo el mercado negro que hay de identidad. La ingeniería social con el phishing y el clickfish (uso de captcha falsos)   se están utilizando mucho para que los usuarios se descarguen malware”.

Junto a ellos señala los ataques desde la nube, sobre todo con el uso manifiesto de la IA “A nivel internacional se observa un mercado de cibermercenarios, cada vez hay más profesionales que se ponen a la venta de terceros. Las amenazas de Estado nación que también están apareciendo y como una preocupación aún no generalizada aún hay que mencionar el virus cuántico”.

En este contexto este experto constata con el análisis el incremento que ha habido de ataques a servicios esenciales y administraciones, así como la exposición de cadena de suministros digitales. “En líneas generales las empresas con cierto tamaño y las entidades públicas saben defenderse adecuadamente, el problema lo tenemos en las pequeñas y medianas empresas, expertas en un determinado proceso de negocio, pero carentes de capacidades de ciberseguridad. Todas las empresas se apoyan en otras para que les provean de productos, proyectos y servicios y es en esa dependencia donde las amenazas a la cadena de suministro se materializan”.

Desde su punto de vista, es importante que las autoridades de control exijan y que las empresas se sientan exigidas. En el caso de la cadena de suministro, las corporaciones ya sean entidades públicas o empresas privadas ya están exigiendo a sus partners, tener el mismo nivel de estándares de ciberseguridad para hacer negocios. En muchas ocasiones ese tipo de exigencia viene avalada por un contrato y no directamente como sujetos obligados por ley. Con NIS y su trasposición no ha habido sanciones, habrá que ver qué es lo que sucede cuando se trasponga el proyecto de ley de NIS2. Una ley propia de ciberseguridad como la que acaba de actualizar Portugal, la necesitamos en España, sin lugar a duda”.

3- Las enseñanzas del apagón de abril

En su opinión, “ha habido incidentes de gran escala que han evidenciado una fragilidad estructural, aunque estos no sean específicos de ciberseguridad, aquí tenemos que hacer referencia al apagón del 28 de abril.  Este asunto fue abordado en el II Cyber Resilience Forum del pasado mes de junio con una mesa redonda específica con empresas de servicios básicos que  explicaron cómo lo lograron gestionar.  Este apagón o black out, en su concepto más técnico, fue un evento masivo en la Península Ibérica causado por una cascada de sobrevoltaje que desconectó la red ibérica de la europea, afectando a millones sin luz ni comunicaciones”:

Lázaro señala que “aunque se descartó un ciberataque como causa, la sola idea,  que se barajó en las primeras horas de que el apagón, que esta fuera la causa, evidenció el temor a la gran vulnerabilidad de las infraestructuras críticas y los servicios esenciales, a la que nos enfrentamos ante posibles ataques cibernéticos, poniendo en alerta a agencias de ciberseguridad sobre la necesidad urgente de fortalecer la protección de sistemas energéticos frente a actores estatales y no estatales.  “Cascada de Sobrecarga”: El evento se originó por una pérdida repentina de generación eléctrica en el sur de España, creando un efecto dominó que desestabilizó todo el sistema eléctrico peninsular, según RTVE.es y www.redseguridad.com.

Al mismo tiempo subraya que también se produjo una “Desconexión de la Red Europea”: El sistema ibérico se desconectó automáticamente de la red europea para protegerse, dejando a España y Portugal a oscuras, según www.iniseg.es y www.redseguridad.com.  “El apagón reveló una “Vulnerabilidad Revelada”: El apagón expuso la fragilidad de la infraestructura digital y energética, paralizando comunicaciones, transporte y servicios esenciales. Al mismo tiempo abrió la preocupación ante una Alerta de Ciberataque con impacto nacional: Aunque la causa fue técnica, ajeno a ciber, el evento incrementó la preocupación sobre la posibilidad de futuros ataques cibernéticos a infraestructuras críticas, activando protocolos de evaluación de amenazas, en muchas organizaciones”.

Como principal conclusión nos señala “la necesidad urgente de resiliencia avanzada donde la IA se convierte tanto en uno de los mayores riesgos como en un pilar de defensa para las empresas privadas y entidades públicas. En la actualidad, se está utilizando para la detección avanzada de incidentes y el uso de agentes autónomos, así como para la propia protección de la IA atacante”.

Como enseñanza final de este black out, Francisco Lazaro destaca que “ante este tipo de incidentes inesperados las empresas deben contar con un plan de continuidad de negocio, con protocolos y actuaciones clara para que en horas la empresa, en un ejercicio de resiliencia, pueda volver a su actividad diaria. Por desgracia, desde la práctica observamos que las empresas no invierten en este tipo de actividades cuando son muy necesarias. No es tanto un tema técnico, porque realmente lo que debemos implementar en nuestra organización es un plan de continuidad de negocio, y no solo de recuperación de sistemas. Estas preocupaciones deberían ser más que evidentes, pero no siempre se percibe así”.

“En este escenario habría que hablar de la Directiva de Resiliencia de entidades críticas y de la preocupación por la falta de trasposición de la NIS2, de la que ya dimos cuenta en ISMS Forum en un análisis a fondo. En este contexto constatamos que muchas empresas no saben qué hacer. Es posible que a finales enero empiecen a aparecer las primeras multas a los estados que no han hecho los deberes. Es posible que la UE multe a España por esta falta de trasposición. Ahí el papel ejecutor de esas multas proviene del TJUE que ya ha multado a nuestro país por otros retrasos en trasposiciones de directivas”, apunta.

4- La apuesta por la resiliencia

En opinión de este experto, en este tipo de situaciones “las empresas deben apostar por un nivel de resiliencia avanzada. Las organizaciones deben entender que mejorar esta capacidad de respuesta ante cualquier ciberincidente no es una cuestión técnica, como hemos comentado. Cuando se diseña un plan de continuidad de negocio, no es solo por un ataque cibernético, sino también puede responder a otras situaciones como sería la falta de energía.  Por tanto, creo que debemos dejar claro que este tipo de cuestiones tienen un ámbito de negocio bastante más claro de lo que se piensa”.

Desde su punto de vista “el resumen de este año a nivel de ciberincidentes es similar al de otros años. No hemos notado una mayor presión. Entre los ciberincidentes que más repercusión han tenido han estado los relacionados con la cadena de suministro. Bajo este término, se incluyen empresas de todo tipo de tamaño, y entre ellas las pymes. Estas últimas tienen un nivel de ciberseguridad menor que las grandes empresas con las que mantienen algún tipo de alianza estratégica. El ciberataque que sufrió la Guardia Civil, desde su laboratorio médico, visualiza la confirmación de lo que estamos hablando en relación a la cadena de suministro y a que debemos exigir ese nivel de seguridad a proveedores o partners con independencia de su tamaño”.

Lázaro es consciente que “una empresa entre quince y cincuenta empleados no suele tener un responsable de seguridad de la información, es más si lo tuviera sería un caso singular. Suele ser un proveedor informático externo quien les diseña pequeñas estrategias, sin embargo , sino lo hacen ya como proveedores del sector público -como sujetos obligados por el Esquema Nacional de Seguridad-, en poco tiempo con la trasposición final de NIS2 muchas de ellas se verán obligadas a reforzar esos estándares de seguridad, tanto por la exigencia de esta nueva legislación, como por requerimiento de la gran corporación con la que haga negocio con asiduidad”.

En su opinión, “habrá que ver qué tipos de mecanismos pueden implementarse para que la mayor parte de nuestro tejido empresarial cumpla con esta normativa. Desde ISMS Forum estamos haciendo un road show por distintos municipios españoles para de una forma didáctica explicar lo que implica y mostrar todas las herramientas y guías que hemos preparado para un mejor cumplimiento de NIS2”.

5- Regulación Internacional y Europea

Este experto recuerda que en la UE se han aprobado normas como  el Plan Director de la UE para la Gestión de Crisis de Ciberseguridaden junio del 2025 . En su opinión, es una guía estratégica para mejorar la respuesta coordinada de la Unión ante incidentes cibernéticos a gran escala, definiendo roles, activando marcos de crisis como EU-CyCLONe y ENISA, y reforzando la cooperación civil-militar, con el objetivo de lograr una mayor resiliencia y una comunicación eficaz en estos eventos. Esta iniciativa proporciona una estructura detallada para gestionar crisis cibernéticas, actualizando el plan de 2017 y define claramente qué constituye una crisis de ciberseguridad y cuándo se activa el mecanismo de respuesta.

También indica que otros marcos como la Ley de Ciberresiliencia (CRA),  entrada en vigor en 2027 y la Directiva NIS2, fortalecen la base legal de la ciberseguridad europea, menciona IAPP website. “Este Plan Director es una hoja de ruta fundamental para la Unión Europea en la lucha contra las crecientes amenazas cibernéticas a nivel continental”, señala el Consejo Europeo.

Respecto al  Reglamento EUCC: va a suponer un impulso a un mercado de certificación armonizado.  Se refiere al Esquema Europeo de Certificación de la Ciberseguridad basado en los Criterios Comunes (EUCC), establecido por el Reglamento de Ejecución (UE) 2024/482, que implementa el marco de certificación de ciberseguridad del Cybersecurity Act (Reglamento UE 2019/881) para certificar la seguridad de productos y servicios TIC en la UE, creando un mercado único digital más seguro y armonizado.

Este esquema, basado en normas internacionales como los Common Criteria, tiene como objetivo garantizar que los productos tecnológicos cumplan requisitos de seguridad robustos, mediante certificados con una validez de hasta cinco años. Desde febrero de 2025 se encuentra en vigor el marco europeo de certificación, iniciándose el periodo transitorio tras el cual los esquemas nacionales de certificación deben cesar su aplicación.

El objetivo del marco es crear un mercado único digital para tecnologías de la información y la comunicación seguras mediante la armonización de los esquemas de certificación en la Unión Europea. El ámbito de aplicación abarca la certificación de productos, servicios y procesos de TIC, incluidos hardware, software y firmware. El sistema se fundamenta en los Common Criteria (ISO/IEC 15408) y en evaluaciones realizadas por terceros acreditados (ITSEF). Los certificados tienen una validez máxima de cinco años. En términos de implementación, desde el 27 de febrero de 2025 se encuentra en curso el periodo transitorio tras el cual los esquemas nacionales de certificación deben cesar su aplicación.

Otra norma ya en marcha es la Cyber Resilience Act (CRA) que plantea requisitos obligatorios para productos digitales. La Ley de Ciberresiliencia de la UE (CRA) es un reglamento histórico que establece normas obligatorias de ciberseguridad para todo el hardware y software con componentes digitales que se venda en la UE. Su objetivo es que los productos digitales sean seguros desde su diseño, resilientes a las amenazas y estén respaldados por actualizaciones durante todo su ciclo de vida.

Esta normativa exige que los fabricantes sean responsables de la seguridad, la gestión de vulnerabilidades y la transparencia (como el marcado CE) para un mercado digital más seguro. Obliga a los fabricantes a garantizar la seguridad de sus productos desde su desarrollo hasta el final de su vida útil, introduciendo obligaciones de actualización e informes, cuya plena aplicación comenzará a finales de 2027.

En cuanto a los requisitos obligatorios Lázaro menciona algunos como el de la seguridad desde el diseño: Los productos deben cumplir con los requisitos esenciales de seguridad desde su desarrollo. Al mismo tiempo, los fabricantes deben gestionar las vulnerabilidades y proporcionar actualizaciones de seguridad.

Según su visión, la noma fomentará la transparencia al proporcionar información clara a los usuarios sobre seguridad, incluyendo la duración de las actualizaciones y el soporte técnico. Se crea un mercado CE donde los productos deberán llevar el marcado CE para demostrar su conformidad con la CRA. La disposición. entró en vigor en diciembre de 2024; la mayoría de las obligaciones se aplican a partir de diciembre de 2027, e incluso antes para la presentación de informes.

6- La Estrategia de la UE en IA

Por último, el experto hace referencia a la Agenda Europea de Inteligencia Artificial, destacando la importancia de la implementación del AI Act y del desarrollo de nuevos marcos de responsabilidad algorítmica. En este contexto, la Comisión Europea estableció, el 8 de octubre de 2025, dos estrategias destinadas a reforzar el liderazgo europeo, acelerar la adopción de la inteligencia artificial en sectores industriales clave y situar a Europa en la vanguardia de la ciencia impulsada por la IA.

La estrategia de uso de la inteligencia artificial indica cómo agilizar su uso en las industrias esenciales de Europa y en el sector público. La estrategia para la IA en la ciencia se centra en situar a Europa en la vanguardia de la investigación y la excelencia científica impulsadas por la inteligencia artificial.

La inteligencia artificial está transformando el funcionamiento de las empresas, reconfigurando los servicios públicos y revolucionando la ciencia. Mediante estas estrategias, la Comisión da cumplimiento a su Plan de Acción «Continente de IA», que fija un rumbo para convertir a Europa en líder mundial en inteligencia artificial fiable. Hace tan solo seis años, Europa contaba con dos superordenadores entre los diez primeros del mundo; ahora tiene cuatro y se está trabajando para crear al menos entre cuatro o cinco gigafactorías.

Sobre la base de una sólida infraestructura en materia de inteligencia artificial, así como del talento, del dinámico ecosistema de investigación e innovación y de las empresas emergentes de Europa, sin olvidar su tradición de ciencia colaborativa, datos de alta calidad e infraestructuras de investigación y tecnología de categoría mundial, la UE está bien situada para agilizar el uso de la inteligencia artificial en sectores esenciales y en la ciencia.

Para impulsar la adopción de la inteligencia artificial y apoyar estas medidas, la Comisión va a movilizar alrededor de 1 000 millones de euros. En el futuro, estos sectores podrían complementarse con nuevas iniciativas en ámbitos como las finanzas, el turismo y el comercio electrónico.

La estrategia contribuirá a impulsar las capacidades de la UE para reportar ventajas sociales, desde la facilitación de diagnósticos sanitarios más precisos hasta la mejora de la eficiencia y la accesibilidad de los servicios públicos. También fomentará la mentalidad de priorizar la inteligencia artificial, de manera que más empresas la consideren parte de la solución a la hora de afrontar sus retos, teniendo muy en cuenta las ventajas y los riesgos de esta tecnología.

Para coordinar las actuaciones, la Comisión va a poner en marcha la Alianza para el uso de la inteligencia artificial, un foro para la industria, el sector público, el mundo académico, los interlocutores sociales y la sociedad civil. Un Observatorio de IA supervisará las tendencias en la materia y estudiará sus repercusiones sectoriales.

7- La importancia del RIA

En este escenario la AI Act o Reglamento de IA  (RIA)  es según Francisco Lázaro es la primera ley integral del mundo que regula la inteligencia artificial, promulgada por la Unión Europea (UE) para establecer un marco jurídico común para los sistemas de IA. Utiliza un enfoque basado en el riesgo para clasificar las aplicaciones de IA e impone diferentes requisitos según su potencial impacto en la seguridad y los derechos fundamentales, con el objetivo de garantizar que la IA sea segura, transparente, no discriminatoria y centrada en el ser humano. La ley prohíbe ciertos usos de la IA con riesgo inaceptable, establece normas estrictas para las aplicaciones de alto riesgo, exige transparencia para algunos sistemas y establece requisitos mínimos para las aplicaciones de bajo riesgo.

La norma que tiene una entrada escalonada tiene un enfoque basado en el riesgo. La ley clasifica los sistemas de IA en niveles de riesgo: inaceptable, alto, limitado y mínimo. Para este experto: La mayoría de las aplicaciones de IA, como los filtros de spam y los videojuegos basados en IA, no tienen obligaciones específicas, aunque las empresas pueden adoptar voluntariamente códigos de conducta.

En cuanto a su alcance, la Ley se aplica a los proveedores e implementadores de IA dentro del mercado único de la UE y está diseñada para establecer un estándar global, similar al RGPD de la UE. Por último, esta Ley se implementa por fases, con un período de transición para que las empresas se adapten a las nuevas normas. “En agosto del 2026 ya podrán nuestros reguladores, como son el caso de AESIA y la AEPD, sancionar por el uso de sistemas de riesgo de nivel inaceptable”, comenta.

Sobre estas normas, nuestro interlocutor señala que “en cuanto a lo que es la certificación de productos de seguridad a nivel europeo, avalado por el Reglamento EUCC antes explicado, aun estamos muy lejos de tener lo que se requiere y exige luego en otras reglamentaciones como es la NIS2. En cuanto a la CRA, su nacimiento está más asociado a elementos relacionados con el mundo residencial, sin embargo, su aplicación va a ser bastante en el campo industrial y de las infraestructuras críticas”.

A su juicio, “ahí hay grandes lagunas que deben ser cubiertas, la CRA señala que a partir de diciembre del 2027 va a exigir una gestión adecuada a los fabricantes de los fallos de seguridad y tienen que mantener ese parcheado durante cinco años. Esto aplicado a las infraestructuras críticas que duran quince años supone un problema”.

Respecto al debate abierto en la UE tras la propuesta que acaba de conocerse del  Paquete Omnibus Digital que simplificará en los próximos años el régimen normativo en Europa, este experto aclara que “está calando el mensaje que Europa con toda la regulación que tiene puede dejar de ser competitivo. Al mismo tiempo creo que se percibe una crisis de identidad europea”.

En su opinión, “si Europa quiere comportarse como un Estado y tener unos altos valores que afectan a los derechos de las personas y en su forma de vida, tendrá que hacer esa revisión normativa, que es lo que plantea esta futura normativa aún por aprobar de forma plena. Esta simplificación afectará de manera notable en temas de protección de datos y de IA”.

8- Regulación y Desarrollo Normativo en España

En primer lugar, Francisco Lázaro destaca  la Estrategia de Ciberseguridad del Sistema  Nacional de Salud (2025–2028):el Consejo Interterritorial del Sistema Nacional de Salud (CISNS) aprobaba la Estrategia de Ciberseguridad del SNS 2025-2028, un documento clave para afrontar los retos de la digitalización sanitaria desde un enfoque integral, preventivo y colaborativo, que ha sido elaborado con la participación activa de las comunidades autónomas, especialmente Andalucía, Cataluña, Comunidad Valenciana, Galicia e Islas Baleares, cuyas experiencias en la protección de activos digitales han contribuido de forma significativa a su definición.

La iniciativa, impulsada por el Ministerio de Sanidad, se enmarca en la Estrategia de Salud Digital y responde a un contexto marcado por el creciente número de ataques cibernéticos dirigidos a infraestructuras sanitarias, tanto a nivel nacional como internacional. En los últimos años, se ha producido un aumento significativo de incidentes como ataques de ransomware, intentos de robo de datos clínicos o de accesos no autorizados a sistemas críticos, que han puesto en riesgo la operatividad de servicios asistenciales y la confidencialidad de millones de historiales médicos. Estas amenazas, cada vez más sofisticadas, suponen un desafío estructural para la continuidad y seguridad del Sistema Nacional de Salud.

Según datos del Instituto Nacional de Ciberseguridad (INCIBE), los ataques más frecuentes al sector sanitario en 2024 fueron malware, intrusiones, robo de datos y ransomware, afectando a centros de atención primaria y hospitales. A ello se suma la necesaria interconexión entre servicios sanitarios y el creciente despliegue de tecnologías digitales, lo que incrementa la superficie de exposición ante posibles vulnerabilidades. Esta situación ha impulsado la necesidad de dotar al SNS de un marco robusto y preventivo que asegure la resiliencia operativa, el cumplimiento normativo y la confianza ciudadana en un entorno sanitario cada vez más digital.

El documento establece ocho objetivos estratégicos entre los que destacan: crear una red nacional de colaboración sobre ciberincidentes, garantizar la integridad y disponibilidad de los datos sanitarios, promover la formación continua en ciberseguridad para el personal sanitario, asegurar la continuidad asistencial frente a incidentes, y fomentar el cumplimiento normativo con estándares europeos como NIS2 o ENS. Además, se persigue posicionar al SNS como referente en Europa en ciberseguridad sanitaria, mediante el impulso a la innovación, la vigilancia tecnológica y la cooperación institucional.

Respecto al  Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad  destinado a la transposición de la Directiva NIS2, se destaca que fue aprobado por el Consejo de Ministros en enero de 2025 y tiene por objeto reforzar el marco de ciberseguridad en España conforme a los estándares de la Unión Europea. Establece nuevas responsabilidades para los órganos de dirección de las empresas, crea la figura del Centro Nacional de Ciberseguridad y fija un régimen sancionador con multas de hasta 10 millones de euros para infracciones graves. La norma afecta a entidades públicas y privadas de sectores críticos y esenciales.

En cuanto a sus objetivos, el principal es el de reforzar la protección de las redes y sistemas de información frente a las ciberamenazas, garantizando un nivel común de ciberseguridad en la Unión Europea. Con esta trasposición se amplía el alcance de la normativa de ciberseguridad a más sectores debido a la creciente interdependencia de las infraestructuras críticas.

 Esta trasposición amplia los sectores afectados: Entidades públicas y privadas que operen en sectores críticos como energía, transporte, banca, salud, infraestructuras digitales, y servicios de telecomunicaciones.  Los órganos de dirección de las empresas serán responsables de implementar y supervisar las medidas de gestión de riesgos de ciberseguridad y los miembros de los órganos de dirección responderán solidariamente en caso de incumplimiento, lo que puede acarrear sanciones.

A juicio de Francisco Lázaro toda esta normativa de gobernanza “pretende crear un marco normativo de cómo se va a gobernar la ciberseguridad en España. Una parte importante de esta futura norma ayudará a una mejor coordinación de las entidades de control existentes”.

La trasposición aún está sin resolver, pero eso no ha impedido que el Consejo de ministros del pasado 5 de mayo, aprobase un impulso de la inversión nacional en capacidades de ciberseguridad y ciberdefensa, que complementan las medidas incluidas en el Plan Nacional de Ciberseguridad, aprobado el 29 de marzo de 2022, y que contará con una inversión de 1.157 millones de euros. Muchas de las entidades públicas han tenido un recorte presupuestario para dotar de más recursos a organismos públicos especializados en ciberseguridad y defensa nacional.

Sobre la Orden PJC/448/2025: se plantea como un refuerzo del Plan Nacional de Ciberseguridad. De esta forma en esta disposición se indica que se aprueban un conjunto de actuaciones en materia de ciberseguridad como complemento de las recogidas en el Plan Nacional de Ciberseguridad, aprobado por Acuerdo del Consejo de ministros de 29 de marzo de 2022.

Dichas actuaciones al estar incluidas o relacionadas con el Plan de Recuperación, Transformación y Resiliencia, y en especial en su Componente 11 (Inversión 1. Modernización de la Administración General del Estado), se sujetarán a lo establecido en el Real Decreto-ley 36/2020, de 30 de diciembre, por el que se aprueban medidas urgentes para la modernización de la Administración Pública y para la ejecución del Plan de Recuperación, Transformación y Resiliencia.

En el plano regulatorio nacional, Lázaro destaca como un elemento significativo que mucha de esa normativa está parada: “Si preguntas a los profesionales te dicen que esa actualización normativa aun no se ha producido. Desde esa perspectiva no puede decirse por tanto que España está a la cabeza del mundo en materia de ciberseguridad con la falta de actividad de estas normas. No se está poniendo en vigor lo que ya debería estar operativo. Eso genera preocupación en las empresas a la hora de su cumplimiento. La propia Estrategia Nacional de Ciberseguridad  no se ha implementado porque aún no se ha aprobado NIS2 y su trasposición a nuestro ordenamiento”.

Francisco Lázaro recuerda que en esa Estrategia Nacional de Ciberseguridad se habla de servicios esenciales y de más cosas: “También se fija en las infraestructuras críticas, donde tampoco se ha traspuesto su normativa, aunque se hable menos de ella. Si se coge esta Estrategia para ver que puede aportar la ciberseguridad a la seguridad nacional se observa que la normativa de seguridad en infraestructuras críticas no está traspuesta, como tampoco lo está la concerniente a la seguridad en servicios esenciales, o la propia normativa de seguridad en los organismos gubernamentales, que con el CCN está cubierto”.

Desde su punto de vista, “si hablamos de seguridad en la industria al no estar la NIS2 te encuentras con el mismo problema. Es un contrasentido que se hable de la importancia de la ciberseguridad en nuestro país y no tengamos ese aparato normativo actualizado”.

 

9- Aprendizajes de un año intenso

Carlos Saiz es el vicepresidente de ISMS Forum y Director del Data Privacy Institute y socio de Socio de Ecix Group, responsable del área de Risk, Governance & Compliance. Nadie mejor para analizar cuáles han sido los aprendizajes de año y las tendencias estratégicas del 2025. Un año en el que empresas públicas y privadas han trabajado duro para la implementación de NIS2, aún pendiente de llegar.

Respecto a esos aprendizajes de este 2025, este experto señala que “el incremento de forma masiva de estos incidentes de ciberseguridad supone un test de estrés para nuestro país, entendido como nación digital. Las entidades público y privadas están a prueba de forma constante y nos obliga a mejorar nuestro sistema de protección y de resiliencia.  A este respecto la organización periódica de ciberejercicios desde la iniciativa   de nuestro programa Cyber Crisis Management, se consolida como la referencia nacional en la preparación y gestión de crisis cibernéticas.”

Este ejercicio anual, diseñado como un simulacro virtual gamificado, somete a las organizaciones a escenarios realistas que, ponen a prueba su capacidad de reacción ante incidentes, la calidad de las decisiones y eficacia en la coordinación interdepartamental. 

La iniciativa, presentada en el marco de la XXVII Jornada Internacional de Seguridad de la Información de ISMS Forum, responde a las crecientes exigencias regulatorias, entre ellas la Directiva NIS2 y la norma ISO 22301, y se posiciona como una práctica esencial para anticipar riesgos, reforzar la resiliencia y garantizar la continuidad del negocio en un entorno digital cada vez más complejo y dinámico.

Este año, el programa ha contado con la colaboración de Inmersive Labs como proveedor tecnológico y el Institut Cerdà como evaluador independiente, asegurando rigor, objetividad y trazabilidad en el análisis. Los resultados agregados y anonimizados ofrecen una visión comparativa del sector, identificando tendencias y proporcionando recomendaciones estratégicas que permiten elevar la madurez organizativa y optimizar la respuesta ante incidentes críticos.

En su opinión “la gestión de esos ciberincidentes, unida a la presión normativa que supone más obligaciones a cumplir para las empresas, creo que estas cuestiones ayudan a que los sistemas de ciberseguridad sean más maduros. No podemos olvidar que en este escenario el Gobierno aprobó un refuerzo de las capacidades de refuerzo y ciberseguridad por valor de 1.157 millones de euros en mayo del 2025”.

10- Crecen los ciberincidentes

 En 2024 se detectaron más de 100.000 ciberataques en España y cada tres días hubo uno considerado como muy grave. Estas medidas contribuirán a mejorar la protección de la información, los servicios y, especialmente, las infraestructuras críticas de todo tipo.

En el diseño y desarrollo de estas medidas están implicados diversos departamentos ministeriales. El 22% del presupuesto total será ejecutado por el Ministerio para la Transformación Digital y de la Función Pública, incluyendo la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales, la Agencia Estatal de Administración Digital (AEAD), Red.es y el Instituto Nacional de Ciberseguridad (INCIBE).

El Departamento de Seguridad Nacional (DSN), dependiente del Ministerio de la Presidencia, Justicia y Relaciones con las Cortes, realizará una inversión del 1,2% del total del presupuesto.

El Ministerio de Defensa, a través del Centro Nacional de Inteligencia - Centro Criptológico Nacional (CNI-CCN), el Centro de Sistemas y Tecnologías de la Información y las Comunicaciones (CESTIC) y el Mando Conjunto del Ciberespacio (MCCE) ejecutará el 60,4% del presupuesto. Por el último, el Ministerio del Interior realizará acciones por el 16,34% del total del presupuesto.

En este contexto nuestro interlocutor subraya que “la ciberseguridad es un elemento estratégico para cualquier empresa pública o privada que debe abordar como prioritario. Creo que es una de las tres preocupaciones en estos momentos más claras de este tipo de entidades. En otros países estudian que la ciberseguridad pueda tener rango de Secretaria de Estado. Aquí seria problemático porque están repartidas las competencias entre distintos organismos ministeriales, con entidades como CCN, OCN o INCIBE. Habrá que ver cómo queda este modelo de gobernanza nuestro”.

En su opinión la futura trasposición de la directiva NIS2 “va a ser un revulsivo para que muchas pymes apuesten por la ciberseguridad. En este sentido la normativa actuara de palanca para que este tipo de empresas inviertan en sus protocolos de ciberseguridad. Es importante que muchas de estas empresas medianas, que son proveedoras de otras grandes, tengan un nivel de madurez grande en materia de ciberseguridad. ISMS Forum está inmerso en un road show para explicar en distintas poblaciones españolas la trasposición de NIS2 y lo que va a suponer para las empresas y entidades públicas. Con ello volveremos a fomentar la colaboración público-privada”.

Apostar por la prosiliencia

En este escenario el vicepresidente de ISMS Forum cree que empresas y organizaciones son conscientes que no solo deben invertir en proteger sus activos con políticas de ciberseguridad flexibles para repeler los ataques y en una mejor reacción “Es el momento de pasar de la resiliencia a la prosiliencia y preparación activa como concepto que hemos acuñado en ISMS Forum y presentado en las XXVII Jornadas Internacionales de la Informacion celebradas en Madrid”.

“Hablar de prosiliencia es un peldaño más, en el sentido de mejorar esa protección preventiva para reducir aún más el impacto de ese ciberincidente. Y si sucede y hay que gestionar ese problema, hay que procurar tener organizado con distintos protocolos internos, algunos de ellos entrenados de forma habitual, para ser prosiliente y volver a la continuidad del negocio lo antes posible. Con la prosiliencia queremos impulsar el concepto de cómo prepararse para mitigar el impacto del incidente en nuestro negocio. Creemos que es un signo de madurez que los CISOS de este país vayan haciendo suyo este concepto que trasladamos al sector”.

Desarrollar este tipo de conceptos que mejoran la continuidad de negocio como la prosiliencia requiere implementar programas de formación continua en las organizaciones tanto al equipo directivo como al resto de profesionales. “Y algo más importante que en la trasposición de la directiva NIS2 queda claro es el compromiso de la dirección de estas empresas en implementación de medidas porque tendrán con la nueva norma, una vez se apruebe, una responsabilidad directa sobre este tipo de ciberincidentes y su repercusión. La prosiliencia del negocio es importante porque impulsarla puede reducir el daño reputacional o financiero de dicho ciberincidente”, comenta.

Para este jurista, “un elemento clave en la respuesta a todos estos ciberincidentes es la colaboración publico/privada, cada vez más necesaria. Deben fortalecerse mucho más estas alianzas en materia de ciberseguridad. Gracias a este tipo de iniciativas ha evolucionado de forma progresiva las capacidades de comunicación, respuesta y recuperación de empresas y organizaciones cuando sufren estos ciberincidentes. Ahora donde hay que trabajar más es en el control de la cadena de suministro en las pymes. Las grandes empresas tienen más conciencia y recursos frente a las pymes que muchas de ellas no conocen este tipo de amenazas.

Este experto recuerda que en nuestro país hay muchas infraestructuras críticas y esenciales que están en manos del sector privado. “Son los casos de la energía o la banca por poner dos ejemplos relevantes que dependen de la empresa privada. Por eso se publica normativa para regular esas infraestructuras críticas, necesitamos que funcionen desde su gestión por organismos privados. Desde NIS2 se pretende maximizar esa colaboración público-privada”.

11- El trabajo del Cyber Resilience Center

En este contexto, hay que mencionar el acuerdo suscrito entre ISMS Forum y la Consejería de Digitalizacion de la Comunidad de Madrid para impulsar un ecosistema de ciberseguridad estable. Una alianza que podría replicarse en otras CCAA e incluso a nivel estatal en el futuro “Nosotros como entidad siempre hemos tenido la vocación de ser útiles para mejorar la penetración de la ciberseguridad en nuestro tejido empresarial y mejorar la formación y el desarrollo de los profesionales de la seguridad de la información. Esa es la razón de ser de nuestras guías, jornadas o reuniones con terceros.

Desde ISMS Forum se ha puesto en marcha como grupo de trabajo el llamado Cyber Resilience Center (CRC) que el pasado mes de junio organizaba en Madrid  el II Cyber Resilience Forum que  convocó en esta jornada a expertos institucionales, CISOs, organismos reguladores y empresas líderes en seguridad para compartir experiencias, casos prácticos y nuevas perspectivas en torno a cuestiones como la ciberseguridad y continuidad de negocio, gestión de crisis y ciberincidentes, resiliencia organizativa y cumplimiento normativo y estrategias frente a entornos de amenaza híbrida.

En este evento se presentó el Board del CRC constituido por expertos referentes en sus organizaciones.  Así está integrado por Cristina Pereira, como Directora, y miembros de este Board como Angel Pérez, CISO y Responsable de Resiliencia de Autopistas y Co-Director del Grupo de Inteligencia Artificial de ISMS Forum; Gonzalo Sánchez, Global Head of Business Resilience Office and IT Assurance de Amadeus y Gema Brihuega, Pr. Manager BCM & Crisis de Vodafone Spain.

Fue Cristina Pereira, coordinadora de este grupo de trabajo, quien moderó una mesa redonda sobre apagón del pasado 28 e abril. Intervinieron como ponentes Javier Ordúñez, Subdirector de Resiliencia Operativa y Gestión de Crisis, Mapfre; Elena Ruiz, Head of GRC, de Moeve; y Alfredo Thomas, Gerente de Continuidad de negocio y aseguramiento de la dirección global de Seguridad Operativa, Telefónica. Tal y como nos han comentado las organizaciones resilientes “estamos preparadas para afrontar cualquier escenario, se conozca o no. Esa capacidad que entrenamos nos permite ser ágiles y responder ante ese tipo de situaciones”, indicaron.

Carlos Saiz valora de forma notable la actividad y programas del CRC que está recibiendo muchas consultas de otros CISOS que pertenecen a la comunidad de ISMS Forum “Todavía hay empresas que creen que como ellas no han sufrido estos incidentes de seguridad, estas cuestiones no van con ellas. Al mismo tiempo la falta de la trasposición de NIS2, con lo que sería una obligación legal, evita el desarrollo de estas políticas en muchas pymes. Sin embargo, el control que las grandes compañías hacen a sus proveedores les exige tener esas estrategias de ciberseguridad para poder trabajar con ellas”.

12 -Tendencias estratégicas en este 2025

En cuanto a las principales tendencias que se han consolidado a lo largo de este año, una primera a resaltar es que se está produciendouna mayor integración de las estrategias de ciberseguridad en el negocio. “En eseescenario el papel del CISO, responsable de seguridad de la información, está siendo clave para dicha consolidación. Esta es una figura que ha ido evolucionando en nuestro país, ahora hacia un puesto más directivo. Reporta de forma directa a los órganos de gobierno de su empresa. Eso hace que no esté tan ligado a la tecnología, como estaba antes. Será clave en la trasposición futura de NIS2”.

Para Saiz “ese papel estratégico del CISO, lo vimos hace años en ISMS Forum, muchas de nuestras actividades, en todo tipo de formatos y guías van en esa dirección, de apoyo a su trabajo. Formamos a esos profesionales en habilidades de dirección; de comunicación, gestión o liderazgo. De la comunicación fluida que exista entre el CISO y el órgano de dirección de la empresa y de cómo este explique la importancia que supone la prevención de estos ciberincidentes dependerá la apuesta en ciberseguridad y sus presupuestos en los próximos años”.

Otra tendencia que se ha ido asentando durante este año ha sido el papel de la IA generativa y su papel en la automatización defensiva. “Hay una oportunidad importante de incorporar esta tecnología a la hora de gestionar los protocolos interinos de las empresas y definir algunas herramientas que mitiguen el impacto de esos ciberincidentes. Los atacantes a muchas empresas ya emplean la IA para ser más agresivos y contundentes. Con estas herramientas podemos detectar patrones de ataque;  reaccionar más rápidos ante ataques determinados. A nivel legal ya hay IAS que regulan los framework internos de cara a saber si estamos cumpliendo con la normativa”, comenta.

En opinión del vicepresidente de ISMS Forum “todas estas herramientas de IA, obligan a los CISOS a formarse convenientemente en su uso y a conocer realmente el marco legal que las contextualiza. De esa manera estos profesionales podrán mejorar el cumplimiento de las normas. En este sentido la IA bien utilizada y asentada en cada organización se va a convertir en un aliado de las funciones de ciberseguridad y de riesgos en las organizaciones. De forma progresiva estamos viendo más casos de uso donde se están utilizando en las políticas de seguridad de la información de empresas y entidades públicas”.

Para nuestro interlocutor, el papel y las funciones del CISO han crecido de forma notable “tanto en la parte de protección como en la de monitorización de esos incidentes, gestión de terceros, cumplimiento normativo o la resiliencia son algunas de esas responsabilidades en las que debe estar al frente. El reto es poder gestionar estas cuestiones con profesionales bien formados, herramientas de IA y apostado por modelos de compllance operativos, otra de las tendencias en este 2025. Es el momento del Cybercompliance, como modelo de cumplimiento en el entorno de ciberseguridad. Hay que cumplir normativas como RGPD, Esquema Nacional de Seguridad NIS2, Dora y dentro de poco la Cyber Resilience Act, entre otras normas por llegar”.

En su opinión “solo saber cuáles se aplican o cuales no, que nivel de madurez tiene esa empresa en esos requisitos regulatorios hace que las compañías impulsen sus programas de Cybercompliance como algo primordial. El propio Reglamento de IA (RIA) tiene muchas obligaciones en materia de ciberseguridad para las organizaciones. Estas herramientas de Cybercompliance ayudan a cumplir las normas, con lo cual se mitigan los riesgos y sanciones, pero además da un orden en los sistemas de protección. Podemos monitorizar el sistema y ver el grado de cumplimiento que estamos teniendo. El Cybercompliance es otra herramienta al servicio de los CISO en su trabajo”.

13- La importancia de las certificaciones

Carlos Saiz subraya la importancia de poder acreditar que la empresa cuenta con un sistema de ciberseguridad robusto y probado. La formación continua de los profesionales y la inversión sostenida en actualización tecnológica constituyen factores atenuantes en caso de producirse un ciberincidente, siempre que este sea debidamente notificado al regulador. “Dado que la seguridad no es infalible, la existencia de estas políticas refuerza la demostración de una responsabilidad proactiva por parte de la empresa ante auditorías y autoridades competentes en la gestión de este tipo de riesgos”.

La apuesta de las empresas y entidades públicas por las certificacionestambién hay que considerarla como otra tendencia en el 2025. “En el caso de ISMS Fórum apostamos por la formación de los profesionales que constituyen esta comunidad de expertos en seguridad de la información que lideramos.  Nosotros trabajamos en el gap que hay que cubrir entre los perfiles muy técnicos y jurídicos, formamos a profesionales en este entorno para que conozcan la parte de Cybercomplance y la jurídica. Las compañías van a necesitar profesionales formados y con certificaciones que avalen sus conocimientos logrados en esos programas”.

Desde ISMS Forum se han incorporado algunas certificaciones profesionales al mercado que avalan esos conocimientos profesionales y ayudan a la empresa a elegir al candidato o al proveedor adecuado. Recientemente se ha presentado la certificación NIS2PC, “certificación orientada a preparar y avalar a los profesionales ante los requisitos operativos, técnicos y de gobernanza derivados de la Directiva NIS2 y su aplicación en España”. Similar a la que fue diseñada en su día para los delegados de Protección de Datos (DPD). Sus destinatarios serán CISOS, DPD, analistas de seguridad, profesionales que se encuentren en este entorno del CyberCompliance del que estamos hablando y que se va a convertir en fundamental para reducir riesgos y conocer el marco normativo”.

Como última tendencia, este 2025 ha reforzado el papel de la resiliencia operacional como estándar corporativo, Carlos Saiz, vicepresidente de ISMS Forum comparte estas tesis de mejor la continuidad del negocio cuando se haya sufrido ese ciberincidente: “En muchos casos ya observamos que en determinados negocios hay empresas que piden a sus proveedores que tengan sistemas de resiliencia. Cada vez es más común esta exigencia en determinados niveles empresariales. Se ha convertido en la mejor manera de reducir los riegos en la cadena de suministros de algunas empresas y entidades públicas”.

Mejorar en resiliencia, supone, por tanto, “una mejor gestión de riesgos de terceros que se está convirtiendo en las organizaciones en una de las cuestiones que se monitorizan con más detalle para evitar cualquier sorpresa en forma de ciberincidente. Estamos hablando de una obligación legal refrendada por el RGPD, NIS2 e incluso el Esquema Nacional de Seguridad, porque es una forma de gestionar riesgos. Empresas que tengan varias propuestas de trabajo con proveedores elegirán aquella que sea más robusta y ofrezca garantías. Es ya una pieza clave de la relación comercial entre empresas y proveedores”.

14- Conclusiones finales: Faltan las reglas del juego

Como colofón a este informe, y a modo de recapitulación parece claro que las empresas y entidades públicas han avanzado en materia de ciberseguridad. La proliferación de incidentes masivos está generando una mayor preocupación por la gestión de los riesgos y la definición de las políticas de ciberseguridad.  “Todavía hay mucho por hacer, como hemos visto en este análisis la trasposición de NIS2 puede ser el elemento normativo adecuado para que muchas pymes apuesten de forma clara por diseñar esas políticas, señala Saiz.

A tal efecto, nos recuerda que ISMS Forum ha diseñado toda una serie de herramientas como el Handbook NIS2, para entender los detalles técnicos de la norma; el cuestionario de control de la cadena de suministro y el formulario de identificación de NIS2 para que esa empresa conozca si está afectada por el marco normativo de esta directiva sobre ciberseguridad. “Para poder cumplir cualquier marco legal hay que estar informado y conocer ese entorno legal y las obligaciones que de ahí se derivan para nuestra empresa”.

En cuanto a los mensajes para este 2026, donde se espera la trasposición de NIS2, como ha hecho recientemente Portugal con su nueva Ley de Ciberseguridad aprobada hace unos días, las cuestiones parecen claras en ese afán de mejorar la gobernanza de las organizaciones y reducir el impacto de esos ciberincidentes. “Las empresas y entidades públicas apostarán por la seguridad en el diseño de sus actuaciones como prevención a cualquier incidente. Al mismo tiempo habrá que ver qué es lo que sucede con el RIA, porque en agosto del 2026 entran en vigor muchas obligaciones. Habrá que ver los movimientos de la AESIA y la AEPD”.

A su juicio trasponer NIS2 es necesario y urgente “todavía hay muchas compañías que al saber que hablamos de una directiva comunitaria están a la espera de esa trasposición para hacer ese esfuerzo inversor. Hasta que no vean que hay ley nacional, ni autoridades de control nombradas que puedan hacerles algún tipo de requerimiento, no van a dar ese paso. NIS2 va a ser a la ciberseguridad lo que el RGPD fue a la privacidad. Será un salto cuantitativo importante en el momento que se apruebe. Es necesaria para esa mayor implementación de la ciberseguridad en las empresas”.

Para Saiz, en cuanto al Esquema Nacional de Seguridad (ENS), “hay que dar un paso importante. Tenemos la norma, los estándares y metodología, pero aún hay muchas entidades que no cumplen con el esquema de la ENS, tanto privadas como especialmente públicas que están obligadas a implementarlo y certificarlo con posterioridad. La Administración debe avanzar y ser más proactiva para que todas esas organizaciones estén alineadas al ENS. En este contexto contar con una IA confiable y gobernada para la gestión de los riesgos y estrategias y apostar por la resiliencia, como forma de actuación, serán claves en este 2026”.

En cuanto a su reflexión final de lo que ha sido este 2025 para los profesionales de la seguridad de la información, Francisco Lázaro , CISO y DPO de Renfe y miembro de la Junta Directiva de ISMS Forum, destaca que “ha sido un año de trabajo duro por parte de empresas privadas y entidades públicas esperando la trasposición de NIS2 que no ha llegado. Son las reglas del juego para muchas organizaciones que ahora se verán afectadas por la obligación de seguir esta normativa y lo que dispone. Al mismo tiempo afecta a unos 400 operadores esenciales que ahora no tienen marco donde moverse. Tenemos que recordar que la directiva NIS2 no está en vigor. Hay un vació legal por cubrir en los próximos meses”.

Desde su punto de vista “hasta que no se publique dicha trasposición no sabremos cómo va a quedar la gobernanza en ciberseguridad de nuestro país. Tendremos que ver bien el contenido del Decreto ley y luego su convalidación en el Congreso donde podría sufrir modificaciones importantes. La trasposición de NIS2 es clave para definir nuestra Estrategia Nacional de Ciberseguridad que se quiera implementar en el futuro. En ella habrá que definir bien junto a las autoridades de control nacionales, aquellas otras de carácter autonómico. Desde fuera parece de sentido común que esta trasposición esté muy ligada a esta futura Estrategia en Ciberseguridad, como así pasa en otros países”.

Desde ISMS Forum se lanza con este dossier recopilatorio del 2025 un mensaje institucional basado en fomentar la responsabilidad de las empresas y entidades públicas, es necesario apostar y definir políticas de ciberseguridad, apoyadas en el Cybercompliance y herramientas de IA como aliados de cara a mitigar esos incidentes. “El papel de nuestra asociación profesional es el de liderar esta comunidad de expertos en seguridad de la información con la visión clara que invertir en ciberseguridad es invertir en mejorar la reputación de las empresas y en negocios seguros. La normativa aprobada ayuda a tomar conciencia de la importancia de la ciberseguridad”, indican estos expertos.