La transición a la criptografía post-cuántica se ha convertido en una obligación estratégica en el nuevo escenario regulatorio europeo.

🔐 Tres regulaciones. Un mensaje inequívoco: la ciberseguridad ya no es solo técnica, es una obligación estratégica.
El nuevo panorama regulatorio europeo de ciberseguridad ha llegado, y su mensaje no deja espacio para interpretaciones: la criptografía débil ya no es aceptable. Tres marcos normativos —DORA (2025) para el sector financiero, NIS2 (2024) para infraestructuras críticas y CRA (2027) para productos digitales— convergen en una misma dirección: responsabilidad directa del órgano de dirección, supervisión activa, sanciones ejemplares y obligación explícita de gestionar el riesgo criptográfico.

Las implicaciones son profundas. Cada regulación exige contar con un inventario completo de activos críticos (incluida la criptografía), una evaluación de riesgos que contemple la amenaza cuántica, planes de mitigación orientados a la migración hacia PQC (Post-Quantum Cryptography) y pruebas de validación que soporten auditorías inminentes. En otras palabras, la ciberseguridad ya no se mide solo en términos técnicos, sino en cumplimiento verificable y gobernanza demostrable.

El dilema temporal es ineludible: las regulaciones entran en vigor entre 2024 y 2027, mientras que la migración a criptografía post-cuántica requiere entre cinco y diez años de ejecución. Eso significa que las organizaciones que comiencen su evaluación en 2025 no completarán la transición hasta 2030 o 2035. Quienes esperen a 2027 se verán finalizando entre 2032 y 2037. La pregunta es evidente: ¿cuántos años estarán operando en situación de riesgo regulatorio no gestionado?
Para los Consejos de Administración, la urgencia se traduce en tres preguntas críticas:

1. ¿Contamos con un inventario completo de nuestra criptografía? (12–18 meses de trabajo).

2. ¿Tenemos un plan de migración PQC con un timeline realista? (5–10 años de ejecución).

3. ¿Podemos demostrar gestión activa del riesgo cuántico ante una auditoría?

Si la respuesta a cualquiera de ellas es “no”, la organización ya está en incumplimiento. El riesgo no se limita a sanciones de hasta 15 millones de euros o el 2,5% de la facturación: hablamos de pérdida de licencias operativas, bloqueo de comercialización de productos y exposición directa a demandas de accionistas.
El mensaje del regulador europeo es cristalino: no se puede esperar a que la amenaza cuántica se materialice para actuar. La gestión del riesgo debe ser inmediata, estructurada y verificable. La verdadera cuestión para los comités ejecutivos y consejos no es si la organización está protegida, sino si está gestionando —o ignorando— lo inevitable.

Explora otros análisis y publicaciones vinculadas a nuestras soluciones avanzadas aquí.