La retirada de los acuerdos cibernéticos de EE. UU. indica un riesgo corporativo

By danny bradbury • 12 de marzo de 2026 • 5 minutos de lectura

Las recientes medidas de la administración estadounidense hacen que la coordinación multilateral en materia de ciberseguridad entre ese gobierno y otros sea menos segura en el futuro. ¿Qué implicaciones tiene esto para las juntas directivas que luchan por comprender los riesgos de ciberseguridad y cumplimiento normativo?

En enero, la administración Trump Retiró a Estados Unidos de 66 organizaciones internacionales. Entre ellos se incluyen tres con mandatos claros en materia de ciberseguridad: el Foro Global sobre Experiencia Cibernética, la Coalición Freedom Online y el Centro Europeo de Excelencia para la Lucha contra las Amenazas Híbridas.

Estos grupos ayudan a coordinar políticas cibernéticas, comparten conocimientos y apoyan la respuesta a incidentes transfronterizos. Dos de ellos fueron iniciativas que Estados Unidos contribuyó a establecer. Su abandono indica una postura de ciberseguridad más introspectiva y plantea interrogantes sobre hasta qué punto la colaboración internacional seguirá respaldando la cibergobernanza.

Esta no es la primera medida de la administración que afecta la cooperación cibernética. Decisiones anteriores... vio reducciones de personal en CISA y cambios en algunas de sus prioridades operativas, que inevitablemente afectan su capacidad de compromiso internacional.

Para las empresas que operan en Estados Unidos, el Reino Unido y Europa, la cuestión tiene menos que ver con una decisión individual y más con lo que ésta indica: un cambio gradual hacia un entorno de ciberseguridad más fragmentado e impulsado regionalmente.

El desafío de la respuesta coordinada a incidentes

Los marcos multilaterales proporcionan el tejido conectivo para el intercambio de inteligencia entre las autoridades nacionales de ciberseguridad. Esta infraestructura cobra especial importancia durante incidentes a gran escala que traspasan fronteras.

Cuando se producen crisis, los CERT nacionales y las agencias de ciberseguridad gestionan la respuesta nacional. Sin embargo, los incidentes cibernéticos complejos suelen afectar a varias jurisdicciones simultáneamente, lo que requiere coordinación a nivel regional o internacional.

Acuerdos como el Acuerdo de cooperación ENISA-CISA firmado a finales de 2023 Se diseñaron para fortalecer la coordinación transatlántica durante incidentes graves. Con el entorno geopolítico cambiante, la durabilidad de estos acuerdos es incierta.

Los grandes incidentes cibernéticos ya ponen a prueba la capacidad de respuesta de cada Estado. Los eventos transfronterizos dependen de la cooperación entre las autoridades nacionales y las instituciones regionales.

Las organizaciones del Reino Unido y la UE probablemente asumirán una mayor responsabilidad en dicha coordinación. El Plan Cibernético de la UE, adoptado el pasado junio, mejora la coordinación de crisis tanto a nivel político como técnico. ENISA ya tiene el mandato de apoyar y coordinar las respuestas a incidentes transfronterizos significativos.

En el Reino Unido, el NCSC gestiona la coordinación intergubernamental para incidentes cibernéticos importantes y puede trabajar directamente con las organizaciones afectadas en la respuesta y la comunicación.

La infraestructura para la cooperación internacional aún existe. La pregunta es si se adaptará eficazmente a un entorno regionalmente más fragmentado, en particular si la participación estadounidense en la coordinación multilateral pierde protagonismo.

Espere divergencia regulatoria

Esa fragmentación también se aplica a la regulación. Las regulaciones cibernéticas de EE. UU., el Reino Unido y la UE nunca han estado completamente alineadas. Pero a medida que las prioridades geopolíticas divergen, también pueden divergir las expectativas regulatorias.

Los foros multilaterales contribuyeron previamente a suavizar esas diferencias al crear espacios de coordinación. Sin esa alineación, es probable que los marcos regulatorios se distancien aún más, en particular en lo que respecta a los plazos de divulgación de incidentes, los umbrales de notificación de infracciones y lo que se considera "significativo".

La UE ha avanzado más hacia una regulación obligatoria, prescriptiva e intersectorial. La NIS 2 abarca 18 sectores críticos e impone una alerta temprana de 24 horas y una notificación de incidentes de 72 horas, con multas de hasta 10 millones de euros o el 2 % de la facturación global.

El entorno regulatorio estadounidense está evolucionando en una dirección diferente. El enfoque de la administración Trump es en gran medida desregulatorio. Las normas de divulgación de ciberseguridad de la SEC enfrentan oposición política, la Ley de Informes de Incidentes Cibernéticos para Infraestructuras Críticas de 2022 (CIRCIA) se ha retrasado y no existe una ley federal de privacidad.

Para las organizaciones multinacionales, el resultado es un panorama de cumplimiento más complicado.

Las empresas podrían necesitar desarrollar programas de cumplimiento paralelos para cubrir múltiples jurisdicciones o aceptar una mayor exposición al riesgo de cumplimiento local. Las organizaciones que operan en EE. UU., el Reino Unido y la UE deberán adaptarse a expectativas regulatorias cada vez más diversas.

Cadena de suministro y riesgo de terceros

La gestión de riesgos de terceros ya era un desafío constante, pero cuanto menos colaboren los estados nacionales en las mejores prácticas y protecciones, más complejo se vuelve.

La Ley de Ciberresiliencia de la UE exigirá la elaboración de listas de materiales de software (SBOM) para todos los productos con elementos digitales vendidos en la UE. La Ley de Resiliencia Operativa Digital (DORA) añade un nuevo nivel al otorgar a los reguladores de la UE la supervisión directa de los proveedores críticos de TIC, incluidas las empresas estadounidenses de nube que prestan servicios a instituciones financieras de la UE.

La propuesta de Ley de Ciberseguridad 2 de la UE va más allá, introduciendo marcos de seguridad de la cadena de suministro dirigidos específicamente al riesgo de los proveedores de terceros países.

Mientras tanto, el enfoque estadounidense es más limitado y aplica las SBOM principalmente a las adquisiciones federales en virtud de la EO 14028. El Reino Unido no tiene un equivalente legislativo.

El resultado son tres mercados principales que operan bajo expectativas de seguridad de productos cada vez más diferentes.

Una empresa estadounidense que vende software en Europa se enfrenta a obligaciones de cumplimiento a nivel de producto para las que su entorno regulatorio nacional no la prepara. Sin mecanismos sólidos de coordinación internacional, las propias empresas deben gestionar esa complejidad.

Por qué esto hace que la norma ISO 27001 sea más valiosa

Todo esto implica que las estrategias corporativas deben actualizarse. Los inversores más inteligentes apuestan por marcos independientes de la jurisdicción. La norma ISO 27001 de repente parece profética, ya que se traduce a través de las fronteras. Cinco controles en la versión 2022 abordan específicamente la seguridad de terceros, lo que refleja la creciente importancia de la garantía del proveedor.

Quizás lo más importante es que los reguladores, desde Singapur hasta Estocolmo, lo reconocen. Si bien no reemplaza los requisitos de cumplimiento específicos de cada jurisdicción, proporciona una base sólida que las organizaciones pueden utilizar para gestionar la seguridad en múltiples entornos regulatorios.

En un panorama de gobernanza fragmentado, esa coherencia se vuelve estratégicamente útil.

Un riesgo a nivel directivo, no solo diplomático

Para las juntas directivas, la retirada de los marcos internacionales de cooperación en materia de ciberseguridad puede no representar una amenaza operativa inmediata. Sin embargo, sí indica un cambio estructural en la evolución de la gobernanza global de la ciberseguridad.

La cooperación cibernética entre gobiernos ha ayudado durante mucho tiempo a reducir la divergencia regulatoria, mejorar la coordinación de crisis y crear expectativas compartidas en torno a las prácticas de seguridad.

A medida que esos mecanismos se debilitan o evolucionan, las empresas enfrentan una mayor responsabilidad por mantener la resiliencia, la interoperabilidad y la garantía de la cadena de suministro.

La ciberseguridad global no se derrumba cuando un actor importante se retira del compromiso multilateral. Pero sí se vuelve más compleja.

Y para las organizaciones que operan en Estados Unidos, el Reino Unido y Europa, la complejidad es un riesgo que cada vez más debe gestionarse dentro de la empresa en lugar de asumir que se estabiliza mediante la coordinación internacional.

La retirada de los acuerdos cibernéticos de EE. UU. indica un riesgo corporativo

El desafío de la respuesta coordinada a incidentes

Espere divergencia regulatoria

Cadena de suministro y riesgo de terceros

Por qué esto hace que la norma ISO 27001 sea más valiosa

Un riesgo a nivel directivo, no solo diplomático

danny bradbury

Artículos relacionados

Cerrando la brecha de resiliencia: Dónde el gobierno dice que la sociedad anónima británica sigue fallando

El camino de menor resistencia: por qué la defensa en profundidad es la mejor respuesta a las amenazas en la nube.

Cumplir con la Ley de Uso y Acceso a Datos con total confianza: Por qué el ciclo ISO 27001, 27701 y 42001 ofrece resultados.

Más artículos de Danny Bradbury

Qué implica el Marco de Política Nacional de IA de la Casa Blanca para el cumplimiento normativo.

Por qué los reguladores y los inversores esperan que las empresas aborden un triple riesgo

De la seguridad perimetral a la identidad como seguridad