La madurez en ciberseguridad de los sectores críticos europeos sigue mejorando. El avance es positivo, aunque no se produce al mismo ritmo en todos los casos. Salud, administraciones públicas, ferrocarril, transporte marítimo, espacio, servicios de gestión TIC, agua potable y aguas residuales mantienen un nivel de preparación inferior al que exige su importancia para la sociedad y la economía.
Así lo recoge ENISA en la tercera edición del informe NIS360, publicado en mayo de 2026. El estudio analiza los sectores de alta criticidad incluidos en la Directiva NIS2 y compara dos aspectos: su relevancia para el funcionamiento de Europa y su capacidad para prevenir, gestionar y superar incidentes de ciberseguridad.
ENISA estudia el conjunto de cada sector: la normativa aplicable, la capacidad de
las autoridades supervisoras, la gestión del riesgo, el intercambio de
información y la preparación operativa de las entidades.
Este enfoque permite detectar un claro problema: algunos servicios son
esenciales para la actividad económica y la vida cotidiana, pero su nivel de
preparación todavía no se corresponde con las consecuencias que tendría una
interrupción.
Panorama general
Banca, electricidad y telecomunicaciones vuelven a situarse entre los sectores con mayor madurez y criticidad. Los tres acumulan años de experiencia regulatoria, cuentan con estructuras de supervisión consolidadas y aplican las medidas de seguridad de forma más constante.
Los servicios de confianza, la aviación y las infraestructuras de los mercados financieros se incorporan a este grupo. La aviación pasa de una madurez moderada a una madurez alta, uno de los avances que ENISA destaca en esta edición. La evolución de estos sectores está vinculada a la regulación sectorial, la experiencia de las autoridades supervisoras, las estructuras de colaboración y una mayor preparación operativa.
Gas, transporte por carretera, transporte marítimo y salud también han mejorado, aunque siguen en niveles intermedios. El gas presenta uno de los avances más claros y empieza a salir de la zona de riesgo. ENISA relaciona esta mejora con una mayor colaboración, un intercambio de información más desarrollado y avances en la gestión de riesgos.
La aplicación de normas como NIS2 y DORA está influyendo en esta evolución. La regulación favorece la asignación de recursos y lleva a las organizaciones a revisar cuestiones que afectan directamente a su funcionamiento.
La atención se extiende a la gestión de vulnerabilidades, la continuidad de negocio, la recuperación ante incidentes y la seguridad de los proveedores. Son tareas que van más allá del cumplimiento documental y que tienen un efecto directo sobre la capacidad de mantener la actividad.
El agua potable y las aguas residuales figuran entre los sectores con menor madurez del estudio.
Muchas entidades mantienen sistemas antiguos, presupuestos ajustados y estructuras de ciberseguridad poco desarrolladas. La respuesta sigue siendo reactiva en numerosos casos y la participación en mecanismos de intercambio de información es menor que en otros sectores.
El agua potable obtiene una valoración algo mejor, en parte porque ya estaba incluida en la primera Directiva NIS. Las aguas residuales se incorporaron más tarde al marco europeo de ciberseguridad.
Esta diferencia muestra que la regulación y la supervisión necesitan tiempo para transformarse en capacidades, procedimientos y medidas aplicadas de forma constante.
El sector ferroviario presenta este año un aumento de criticidad. ENISA lo relaciona con su creciente papel en la logística militar europea y con una mayor exposición a amenazas.
Su madurez se mantiene en un nivel moderado. El sector trabaja con infraestructuras antiguas, sistemas IT y OT de larga vida útil y una red amplia de operadores, proveedores tecnológicos y responsables de infraestructuras.
Esta combinación dificulta la aplicación homogénea de medidas y aumenta la dependencia de terceros. También complica la gestión de vulnerabilidades, las actualizaciones y la coordinación de la respuesta ante incidentes.
El sector espacial también aumenta su criticidad. Su papel en comunicaciones, navegación, observación, defensa y autonomía estratégica europea ha incrementado la dependencia de otros sectores respecto a sus servicios.
Su madurez permanece en la parte baja del nivel moderado.
ENISA identifica diferencias relevantes entre entidades. Algunas están sujetas a NIS2 y otras quedan fuera de su alcance. Tampoco existe el mismo grado de adopción de normas, supervisión y buenas prácticas en todo el sector.
La transición hacia servicios en la nube, infraestructuras definidas por software y sistemas conectados introduce nuevas dependencias y amplía los elementos que deben protegerse.
Los servicios de gestión TIC, entre los que se encuentran los proveedores de servicios gestionados y de seguridad gestionada, permanecen en la zona de riesgo. Su madurez se mantiene en un nivel moderado y los avances del último año han sido limitados. ENISA señala dificultades en gestión de parches, segmentación de redes, seguridad de los datos y preparación operativa.
El informe también indica que la colaboración sigue siendo insuficiente. A diferencia de otros sectores, los servicios de gestión TIC no cuentan con mecanismos de cooperación e intercambio de información igualmente asentados a escala europea.
La diversidad de empresas, la prestación de servicios en varios países y las diferencias entre marcos jurídicos dificultan una coordinación más estable.
Esta situación afecta al resto de la economía. Muchas empresas y entidades públicas dependen de estos proveedores para mantener sistemas, gestionar infraestructuras o responder ante incidentes. Además, un fallo en un proveedor llega a extenderse a varias organizaciones y sectores al mismo tiempo. Esa concentración convierte a los proveedores tecnológicos en un elemento central de la gestión del riesgo.
La nube y los centros de datos presentan una situación parecida. Su criticidad es alta porque sostienen servicios de todo tipo, pero su madurez todavía no alcanza la de telecomunicaciones o banca.
ENISA también detecta
dificultades para priorizar y corregir riesgos. Parte de las entidades registra
las vulnerabilidades, pero no siempre realiza un seguimiento sistemático hasta
su resolución.
La electricidad continúa como el subsector energético con mejores resultados. Cuenta con estructuras de gobernanza asentadas, cooperación sectorial y requisitos específicos de ciberseguridad.
El gas mejora y el petróleo permanece en un nivel moderado.
Sin embargo, los tres comparten dificultades relacionadas con entornos OT, sistemas heredados, accesos remotos y proveedores externos. Actualizar un sistema industrial no siempre resulta sencillo. Una modificación llega a afectar a la operación o a la seguridad física. Las entidades deben valorar cada intervención, realizar pruebas y aplicar medidas alternativas cuando no sea viable corregir una vulnerabilidad de inmediato.
El transporte afronta un problema similar. La aviación ha alcanzado una madurez alta, mientras que ferrocarril, transporte marítimo y carretera continúan en niveles intermedios.
Ferrocarril y transporte
marítimo trabajan con numerosos actores, infraestructuras antiguas y una
combinación extensa de sistemas IT y OT. Su papel en la logística militar
europea también ha elevado su relevancia estratégica y su exposición a amenazas.
Qué significa estar en la zona de riesgo
NIS360 sitúa en su zona de riesgo a los sectores cuya madurez se encuentra por debajo de la media y cuya criticidad supera su nivel de preparación.
En esta edición aparecen salud, ferrocarril, transporte marítimo, servicios de gestión TIC, espacio, administraciones públicas, agua potable y aguas residuales. Ferrocarril, agua potable y aguas residuales ya estaban en el límite de esta zona en la edición anterior. Su posición actual no implica necesariamente un deterioro. La mejora general de otros sectores ha elevado el nivel medio de madurez y ha modificado la posición relativa de cada uno.
Cada sector llega a esta situación por motivos distintos. En unos casos influyen los sistemas antiguos. En otros, la falta de personal especializado, los recursos limitados, la dependencia de proveedores o la dificultad de aplicar medidas de seguridad sin interrumpir servicios esenciales.
También existen diferencias dentro de cada sector: las entidades no comparten el mismo tamaño, presupuesto, tecnología ni capacidad de gestión.
El sector sanitario refleja bien esta diversidad. Los fabricantes farmacéuticos presentan mejores resultados que muchos hospitales y prestadores asistenciales, que trabajan con menos recursos, equipos antiguos y un número creciente de dispositivos médicos conectados.
En las administraciones públicas, las diferencias se observan entre organismos estatales, regionales y locales. Las entidades de menor tamaño suelen contar con menos personal y menos conocimiento especializado. La gestión del riesgo sigue siendo desigual y la colaboración entre organismos continúa limitada.
La regulación empieza a dar resultados
Uno de los mensajes del informe es que la regulación está influyendo en la inversión y en la forma de gestionar la ciberseguridad.
ENISA recoge que el 70% de las organizaciones consultadas en su estudio sobre inversión señaló el cumplimiento normativo como el principal motivo para invertir durante 2024. Muchas de ellas ya identifican beneficios que superan el cumplimiento formal.
Las principales dificultades se concentran en la gestión de vulnerabilidades y parches, citada por el 50% de las entidades, la continuidad de negocio y la recuperación ante desastres, con un 49%, y la gestión de riesgos de la cadena de suministro, con un 37%.
Son tareas operativas. Una vulnerabilidad sin corregir, una copia que no se ha probado o un proveedor sin supervisión afectan a la capacidad de mantener la actividad.
También aumenta la
atención sobre la cadena de suministro. Los ataques a proveedores son la
segunda preocupación más citada para los próximos años, después del ransomware.
El 90% de las organizaciones consultadas afirma haber implantado alguna medida
para gestionar estos riesgos. 
Las pymes parten con más dificultades
El informe señala que las pymes de los sectores de alta criticidad encuentran más obstáculos que las grandes empresas en todas las dimensiones analizadas.
La falta de personal especializado, el coste de modernizar sistemas, la dependencia de proveedores y la dificultad de interpretar las obligaciones normativas limitan su capacidad de respuesta.
El tamaño de la empresa no reduce necesariamente su importancia dentro de una cadena de suministro. Una pyme que mantiene sistemas, desarrolla software o presta un servicio tecnológico a una entidad esencial forma parte de su exposición. Una incidencia en ese proveedor llega a afectar a organizaciones de mayor tamaño y a servicios de distintos sectores.
Esta realidad refuerza la necesidad de ofrecer formación, herramientas, servicios especializados y espacios de colaboración adaptados a empresas con menos recursos internos.
IA, proveedores y geopolítica
ENISA identifica tres factores que condicionarán la evolución de la ciberseguridad sectorial: la inteligencia artificial, la cadena de suministro y la inestabilidad geopolítica.
La inteligencia artificial mejora la detección de amenazas y facilita la automatización de tareas. También ayuda a los atacantes a preparar fraudes más convincentes, buscar vulnerabilidades y lanzar campañas a mayor escala. Según el informe, las ventajas de la IA se están materializando con mayor rapidez para los atacantes que para los defensores. Las organizaciones tendrán que detectar y responder en plazos más cortos, incluso ante varias campañas simultáneas.
La dependencia de terceros plantea otro problema. Cuando una empresa confía en un proveedor, también depende de las tecnologías, bibliotecas, plataformas y empresas que ese proveedor incorpora a su servicio. El compromiso de un componente compartido llega a afectar a muchas organizaciones y países. El riesgo ya no termina en el perímetro de una empresa.
La geopolítica también está influyendo en las decisiones de seguridad. Los conflictos regionales, las sanciones, los controles de exportación y los ataques vinculados a Estados aumentan la exposición de sectores esenciales.
Al mismo tiempo, crece
la preocupación por la concentración de proveedores, la soberanía de los datos
y la dependencia tecnológica de empresas situadas fuera de la Unión Europea.
Compartir información y probar la respuesta
ENISA observa avances en intercambio de información y colaboración sectorial. Más empresas participan en centros de intercambio y análisis, conocidos como ISAC, y las autoridades cuentan con más mecanismos de coordinación.
Los resultados siguen siendo desiguales. Las administraciones públicas, el espacio, el agua, la nube, los centros de datos y los servicios de gestión TIC encuentran más dificultades para compartir información de forma estructurada.
También se
aprecia cierta mejora en detección, respuesta y recuperación. Aun así, el
informe insiste en la importancia de comprobar que las medidas funcionan. Tener un plan de
respuesta no garantiza que la organización sepa aplicarlo. Lo mismo ocurre con
las copias de seguridad, los planes de continuidad y los procedimientos de
recuperación. Los ejercicios y
simulacros permiten detectar fallos, aclarar responsabilidades y comprobar
cuánto tiempo necesita una entidad para restablecer sus servicios.
Europa mejora, pero mantiene importantes desequilibrios
El NIS360 2026 ofrece una lectura positiva, pero prudente. La madurez de los sectores críticos europeos avanza gracias a la regulación, la inversión, la supervisión y una mayor colaboración.
Ese progreso convive con diferencias importantes. Los sectores con sistemas antiguos, entornos industriales, organizaciones pequeñas, recursos limitados o una fuerte dependencia de terceros continúan encontrando más dificultades.
La zona de riesgo refleja esa distancia entre la importancia de un servicio y su preparación frente a incidentes.
Los resultados también muestran que la seguridad de los sectores críticos no depende de una entidad aislada. Requiere empresas preparadas, autoridades con capacidad de supervisión, proveedores responsables, normas aplicables y estructuras estables de colaboración.
El informe ayuda a identificar dónde siguen estando las necesidades: salud, agua, administraciones públicas, transporte, espacio y servicios de gestión TIC requieren más atención.
También señala líneas de trabajo para empresas de ciberseguridad, centros tecnológicos, universidades, administraciones y agrupaciones empresariales. Mejorar la madurez de los sectores esenciales exige combinar tecnología, conocimiento, cooperación y una aplicación efectiva de las medidas de seguridad.