La evaluación PQC debe abordarse hoy como una decisión estratégica de gobierno corporativo, no como una iniciativa técnica aislada.

📨 Para CISOs: la conversación que debéis tener con vuestro Consejo. Hoy.

“Estimado Consejo de Administración:
Necesito trasladaros un riesgo regulatorio inminente que exige una decisión inmediata. Tres marcos europeos —DORA, NIS2 y CRA— están ya en vigor o entrarán en los próximos meses, y todos comparten una exigencia común: una gestión explícita del riesgo criptográfico, resiliencia frente a amenazas futuras y protección sólida de los activos críticos. La amenaza cuántica y el modelo Harvest Now, Decrypt Later entran directamente dentro de estas obligaciones.

La magnitud del problema es inequívoca. Una migración completa a Criptografía Post-Cuántica no es un proyecto técnico más: requiere entre 12 y 18 meses únicamente para el inventario y la evaluación inicial, entre 5 y 10 años para completar la transición y una inversión sostenida de entre siete y ocho cifras. Aun así, el verdadero riesgo no es el coste de actuar, sino el coste de no hacerlo.

Si no iniciamos la evaluación de forma inmediata, no podremos demostrar gestión proactiva del riesgo en las auditorías de 2025 y 2026, no dispondremos de un plan creíble cuando los supervisores lo soliciten y estaremos vulnerando nuestras obligaciones de diligencia debida, con exposición directa a sanciones de hasta 15M€ o el 2,5% de la facturación global. Lo crítico no es solo la multa: es la falta de preparación ante una amenaza que ya está acumulando datos hoy para descifrarlos en el futuro.

Iniciar la evaluación ahora, en cambio, nos sitúa en posición de control. Demostramos anticipación ante los reguladores, identificamos riesgos antes de que se conviertan en incidentes, distribuimos la inversión de forma ordenada a lo largo de una década y protegemos la información cuyo valor estratégico se extiende mucho más allá del presente.

Por ello, solicito autorización para lanzar el proyecto de evaluación PQC en el primer trimestre de 2025, asignar presupuesto para la fase inicial de análisis, constituir un equipo dedicado y comprometer una hoja de ruta de inversión plurianual. Cada trimestre de retraso amplía la ventana en la que nuestros datos pueden ser vulnerables, incrementa la presión regulatoria y reduce nuestro margen para una transición ordenada, incrementando la probabilidad de una implementación apresurada y potencialmente fallida.

La pregunta que debemos responder como Consejo es sencilla pero definitiva: ¿Queremos invertir estratégicamente durante los próximos 10 años o asumir el riesgo de sanciones masivas y pérdida de control por no demostrar gestión del riesgo?
“Esperar a ver qué pasa” ya no es una opción legalmente viable en Europa.

Atentamente,
Vuestro CISO”

¿Cuántos CISOs están teniendo esta conversación hoy? ¿Cuántos deberían?

Explora otros análisis y publicaciones vinculadas a nuestras soluciones avanzadas aquí.