La Comisión Europea intenta apagar el ruido sobre NIS2: qué aclaran sus preguntas y respuestas y qué sigue sin estar resuelto

Cuando una norma necesita una página oficial de preguntas y respuestas, suele pasar una de estas dos cosas: o el mercado no ha entendido el texto, o el texto no ha hecho demasiado por dejarse entender. Con NIS2 se dan ambas.

La Comisión Europea ha publicado un documento de Questions & Answers sobre la Directiva (UE) 2022/2555, más conocida como NIS2, en un intento bastante evidente de ordenar el ruido que rodea a su aplicación. El problema no era pequeño. La directiva entró en vigor el 16 de enero de 2023 y obligó a los Estados miembros a transponerla antes del 17 de octubre de 2024. A partir de ahí, las organizaciones afectadas debían empezar a operar bajo un régimen mucho más serio de ciberseguridad, gestión de riesgos, reporting de incidentes y responsabilidad de dirección. Sobre el papel, clarísimo. En la práctica, no tanto.

El valor del Q&A no está en que reinvente NIS2. No lo hace. Su utilidad está en otra parte: fija interpretación política sobre puntos donde muchas empresas, asesores y autoridades nacionales seguían trabajando con suposiciones. Y eso importa, porque con NIS2 ya no hablamos de una directiva limitada a operadores de servicios esenciales. Hablamos de un marco amplio que alcanza a sectores como energía, transporte, banca, infraestructuras de mercados financieros, salud, agua, digital infrastructure, managed service providers, public administration y una larga lista de actividades del Anexo I y Anexo II.

La pregunta de fondo es sencilla: ¿qué cambia de verdad con este Q&A? La respuesta corta: no cambia el derecho positivo, pero sí reduce el margen para fingir que ciertas zonas grises seguían abiertas. Y algunas empresas estaban viviendo bastante cómodas en esas zonas grises.

Lo que la Comisión intenta dejar claro de una vez

El documento insiste, ante todo, en una idea básica pero crucial: NIS2 eleva el listón de la ciberseguridad en toda la UE y amplía el número de entidades cubiertas. Esto no es nuevo, pero la Comisión lo usa para recalcar algo que sigue sin asentarse en muchos consejos de administración: la discusión ya no es si una organización “es crítica” en sentido coloquial, sino si encaja en las categorías y umbrales legales de la directiva.

NIS2 distingue entre entidades esenciales y entidades importantes. La diferencia no es cosmética. Afecta a la intensidad de la supervisión y al tipo de control ex ante o ex post que puede ejercer la autoridad competente. La base legal está en los artículos 3, 32 y 33 de la directiva. Las entidades esenciales están sujetas a supervisión más intrusiva, incluida la posibilidad de inspecciones in situ, auditorías de seguridad regulares, requerimientos de información y acceso a documentos. Las importantes también pueden ser supervisadas, pero en principio bajo un modelo más reactivo, normalmente cuando existen indicios, información o pruebas de incumplimiento.

El Q&A también refuerza la lógica de tamaño empresarial. Salvo excepciones, la norma se aplica a entidades medianas y grandes en los sectores cubiertos, siguiendo la Recomendación 2003/361/CE sobre definición de microempresa, pequeña y mediana empresa. Traducido: el umbral orientativo habitual es tener al menos 50 empleados o un volumen de negocio anual y balance general superior a 10 millones de euros. No es un truco nuevo de Bruselas; ya estaba en el texto. Pero el Q&A lo recuerda porque muchas organizaciones se estaban contando a sí mismas una historia tranquilizadora: “somos demasiado pequeñas para entrar”. A veces sí. A veces no. Y cuando prestan servicios digitales clave, gestionan infraestructuras o son designadas por un Estado miembro por su criticidad, esa tranquilidad puede durar lo que tarda un regulador en llamar.

Otro punto central es que NIS2 no funciona sola. La Comisión la presenta como parte de un paquete más amplio de resiliencia digital europea, junto con instrumentos como DORA para el sector financiero, CER para resiliencia de entidades críticas y, en la práctica, una constelación de normas sectoriales y nacionales. Aquí conviene afinar: NIS2 no desaparece porque una empresa tenga otras obligaciones de ciberseguridad. Lo relevante es cómo se articula la lex specialis.

El choque más delicado: NIS2 no vive aislada, y DORA es el mejor ejemplo

Para las entidades financieras europeas, la pregunta incómoda lleva meses sobre la mesa: si ya estoy dentro de DORA, ¿qué parte de NIS2 me sigue afectando? La Comisión no resuelve este debate en una línea, pero el marco jurídico existe y el Q&A lo refuerza: cuando un acto sectorial de la UE imponga requisitos de ciberseguridad o notificación de incidentes al menos equivalentes, ese acto puede operar como lex specialis.

La base está en el artículo 4 de NIS2. Ahí se establece que, cuando disposiciones sectoriales de actos jurídicos de la Unión requieran a entidades esenciales o importantes adoptar medidas de gestión de riesgos de ciberseguridad o notificar incidentes significativos, y esos requisitos sean al menos equivalentes a los de NIS2, prevalecerán esas disposiciones sectoriales. Esto es exactamente el tipo de artículo que parece técnico hasta que llega el presupuesto y alguien pregunta si hay que montar dos programas paralelos de compliance.

En finanzas, DORA —Reglamento (UE) 2022/2554— es el candidato obvio a ese papel. DORA empezó a aplicarse el 17 de enero de 2025 y contiene un régimen detallado sobre gestión del riesgo TIC, incident reporting, pruebas de resiliencia, terceros proveedores críticos y gobernanza. A efectos operativos, muchas entidades financieras tendrán su programa principal de resiliencia digital articulado alrededor de DORA, no de NIS2. Pero eso no significa que puedan ignorar NIS2 por reflejo. El matiz importa: la interacción depende del tipo de entidad, de la concreta obligación y de cómo el Derecho nacional haya transpuesto y coordinado la directiva.

Una entidad puede encontrarse, por ejemplo, con que su función financiera esté cubierta por DORA, mientras otras partes del grupo o determinados servicios auxiliares queden atrapados por la transposición nacional de NIS2. Y no todos los grupos tienen estructuras limpias ni organigramas que encajen con la imaginación del legislador. De hecho, uno de los riesgos más reales en 2025 y 2026 no es la ausencia de controles, sino el solapamiento desordenado: dos inventarios de activos, dos taxonomías de incidentes, dos procesos de notificación y tres equipos discutiendo quién manda. Hay formas más caras de hacer compliance, pero no muchas.

Los plazos de notificación no son una sugerencia amable

Si hay un punto donde NIS2 deja de ser una conversación estratégica y se convierte en un problema de guardia 24/7, es el reporting de incidentes. El Q&A vuelve a poner foco aquí, y con razón. El artículo 23 de NIS2 establece un régimen escalonado de notificación para incidentes significativos:

• una alerta temprana sin dilación indebida y, en cualquier caso, dentro de las 24 horas desde que la entidad tenga conocimiento del incidente significativo;
• una notificación del incidente dentro de las 72 horas desde que la entidad tenga conocimiento del incidente significativo;
• un informe final a más tardar un mes después de la presentación de la notificación del incidente.

Además, cuando proceda, la entidad debe facilitar un informe intermedio sobre actualizaciones relevantes si el incidente sigue en curso. No es un régimen idéntico al de GDPR, aunque la comparación sea inevitable. El artículo 33 del RGPD fija 72 horas para notificar violaciones de datos personales a la autoridad de control cuando sea probable que entrañen un riesgo para los derechos y libertades de las personas físicas. NIS2, en cambio, mete una alerta a 24 horas. Es decir, la presión temporal es mayor y la lógica es distinta: no se trata solo de privacidad, sino de continuidad, disponibilidad, impacto operativo y posibles efectos transfronterizos.

Aquí aparece uno de los grandes errores de diseño interno que aún se ven en empresas maduras: separar por completo el circuito de incidentes de seguridad del circuito de incidentes regulatorios. Eso ya era discutible con GDPR. Con NIS2 es directamente peligroso. Si una intrusión afecta a sistemas críticos y además compromete datos personales, la organización puede tener, en paralelo, obligaciones bajo NIS2, GDPR, normativa sectorial nacional, contratos con clientes e incluso, en entidades financieras, DORA. Un playbook que no integre esas rutas de decisión no es un playbook; es una forma elegante de perder horas.

La directiva define “incidente significativo” en función de criterios como perturbación operativa grave, pérdidas financieras, afectación a terceros o causación de daños materiales o inmateriales considerables. La concreción fina dependerá de normativa de ejecución, guías nacionales y práctica supervisora. Pero nadie debería esperar a que todas las definiciones queden rematadas para preparar umbrales, matrices de severidad y responsables de escalado. Cuando el reloj empieza a correr, la discusión filosófica sobre qué significa “significativo” pierde bastante encanto.

La responsabilidad de dirección ya no cabe en una diapositiva

Una de las novedades más sustantivas de NIS2 está en la gobernanza. El artículo 20 obliga a los órganos de dirección de las entidades esenciales e importantes a aprobar las medidas de gestión de riesgos de ciberseguridad, supervisar su aplicación y seguir formación para identificar riesgos y evaluar prácticas de gestión. También exige que la dirección promueva formación similar entre el personal. No es un detalle decorativo. Es una asignación explícita de responsabilidad a nivel de board.

La Comisión, en su comunicación pública sobre NIS2, ha insistido en esa línea: la ciberseguridad deja de poder aparcarse en TI o en el CISO como si fuera un asunto técnico lateral. Esto tiene implicaciones muy prácticas. Si el consejo aprueba una política anual genérica y luego desaparece del mapa, estará cumpliendo el ritual, no la obligación. La directiva habla de supervisión efectiva, y las autoridades nacionales querrán ver evidencias: actas, decisiones, asignación presupuestaria, revisiones de apetito de riesgo, seguimiento de remediaciones y formación trazable.

La parte menos simpática está en el artículo 32 para entidades esenciales y en el catálogo sancionador general del artículo 34. Los Estados miembros deben prever medidas coercitivas, incluidas órdenes de cese de conductas infractoras, instrucciones vinculantes, designación de responsables de supervisar el cumplimiento y, en ciertos casos, suspensión temporal de personas que ejerzan funciones directivas en entidades esenciales. Sí, la directiva abre la puerta a consecuencias personales. Era cuestión de tiempo que la ciberseguridad dejara de ser ese punto final del orden del día que se discute cuando ya media sala está mirando el móvil.

Las multas administrativas máximas también son serias. Para entidades esenciales, NIS2 exige que los Estados miembros prevean sanciones de al menos 10 millones de euros o el 2% del volumen de negocio anual mundial total del ejercicio anterior, si esta cifra es superior. Para entidades importantes, al menos 7 millones de euros o el 1,4% del volumen de negocio anual mundial total. Artículo 34. No hace falta dramatizar más de la cuenta: la práctica sancionadora dependerá de cada país, de sus autoridades y de la madurez del mercado. Pero el mensaje regulatorio es cristalino. Esto ya no va de recomendaciones.

Gestión de riesgos: el artículo 21 es el corazón operativo, y sigue infravalorado

Si hubiera que señalar un artículo de NIS2 que merece estar impreso en la pared del despacho del CISO y del director de compliance, sería el 21. Ahí se concentran las medidas de gestión de riesgos de ciberseguridad que deben adoptar las entidades cubiertas. El texto no prescribe una tecnología concreta, pero sí dibuja un marco de control que, bien leído, se parece bastante a un programa serio de seguridad empresarial: análisis de riesgos y políticas de seguridad de los sistemas de información; gestión de incidentes; continuidad de negocio, copias de seguridad y recuperación ante desastres; seguridad de la cadena de suministro; seguridad en adquisición, desarrollo y mantenimiento; políticas para evaluar la eficacia de medidas; prácticas básicas de ciberhigiene y formación; criptografía y cifrado; seguridad de recursos humanos, control de acceso y gestión de activos; y, cuando proceda, autenticación multifactor o continua, comunicaciones seguras y sistemas de comunicación de emergencia.

La Comisión utiliza el Q&A para recordar que NIS2 no pide una compliance theatre de manual. Pide medidas “adecuadas y proporcionadas”, teniendo en cuenta el grado de exposición al riesgo, el tamaño de la entidad, la probabilidad de incidentes y su gravedad, entre otros factores. Esa proporcionalidad es importante, pero conviene no leerla como una invitación a rebajar el programa. Proporcional no significa minimalista. Significa defendible.

Hay un punto especialmente espinoso: la cadena de suministro. El artículo 21 menciona expresamente la seguridad de la cadena de suministro, incluidas las relaciones entre cada entidad y sus proveedores o prestadores de servicios directos. Esta frase debería haber disparado ya revisiones contractuales en media Europa. Y, sin embargo, muchas organizaciones siguen gestionando terceros críticos con un cuestionario anual, dos anexos contractuales y bastante fe. La fe es una tradición respetable, pero como control compensatorio tiene limitaciones evidentes.

La experiencia de los últimos años —SolarWinds, MOVEit, ataques a MSP, dependencia de cloud, concentración de proveedores SaaS— ha dejado claro que la seguridad propia ya no basta. NIS2 traduce esa lección en obligación legal. No exige omnisciencia sobre toda la cadena, claro, pero sí una gestión real del riesgo de terceros: clasificación, due diligence, cláusulas mínimas, evidencias, monitorización, planes de salida y coordinación de incidentes. Quien llegue tarde aquí no tendrá un problema teórico, sino una auditoría desagradable y un incidente aún peor.

El elefante nacional: NIS2 depende de la transposición, y ahí empieza el verdadero lío

El Q&A de la Comisión tiene una utilidad evidente, pero también un límite estructural que no conviene disfrazar: NIS2 es una directiva. Eso significa que la ejecución real vive en las leyes nacionales de transposición, en las autoridades competentes de cada Estado miembro, en los CSIRTs nacionales y en las metodologías supervisoras que se vayan consolidando. Bruselas puede orientar; quien inspecciona y sanciona es, en última instancia, el aparato nacional.

Eso tiene varias consecuencias operativas. La primera: no basta con leer el texto europeo y celebrar que uno ya “entiende” NIS2. Hay que mapear la transposición del país o países donde opera la entidad. La segunda: grupos multinacionales con presencia en varios Estados miembros pueden encontrarse con diferencias de implementación, autoridades distintas, formularios de notificación no idénticos y criterios interpretativos que convergerán con el tiempo, pero no necesariamente desde el día uno. La tercera: la coordinación interna en grupos paneuropeos se complica bastante si cada filial decide improvisar su lectura local.

En España, como en otros Estados miembros, la cuestión no es menor para sectores regulados y operadores con fuerte dependencia digital. La relación entre NIS2, esquemas nacionales de ciberseguridad, normativa sectorial y autoridades competentes exige una gobernanza clara. Si tu organización espera a la primera inspección o al primer incidente significativo para decidir quién reporta, a quién y con qué umbral, ya va tarde.

La Comisión, por supuesto, presenta NIS2 como un instrumento de armonización. Y lo es, en comparación con NIS1. Pero armonización no significa uniformidad absoluta. Ese matiz, que en los comunicados oficiales queda algo más pulido, en la práctica consume tiempo, presupuesto y paciencia.

¿Quién entra exactamente? La falsa comodidad de pensar que NIS2 va de infraestructuras clásicas

Uno de los aportes más útiles del Q&A es pedagógico: insiste en que NIS2 amplía considerablemente el alcance respecto de la directiva anterior. La lista de sectores en los anexos es más extensa y refleja la dependencia digital real de la economía. No hablamos solo de utilities o transportes. Hablamos también de proveedores digitales, centros de datos, DNS, TLD registries, cloud computing service providers, data centre service providers, online marketplaces, online search engines, social networking services platforms y managed service providers, entre otros.

Esto tiene un efecto cultural relevante. Durante años, parte del mercado ha asociado la regulación de ciberseguridad crítica con infraestructuras “visibles”: electricidad, gas, agua, hospitales, banca sistémica. NIS2 rompe esa intuición. Un proveedor de servicios gestionados, un actor cloud o una infraestructura de nombres de dominio puede ser tan decisivo para la resiliencia europea como una instalación física tradicional. El legislador, por una vez, va algo menos retrasado que el problema.

El artículo 2 y los anexos I y II son aquí la referencia obligada. El artículo 3 añade la lógica de clasificación entre entidades esenciales e importantes. También hay excepciones y criterios específicos para determinadas categorías, así como la posibilidad de incluir entidades al margen del umbral de tamaño cuando presten servicios cuya perturbación podría tener impacto significativo. El mensaje práctico es simple: la autoevaluación de alcance debe hacerse con abogados y equipos de negocio en la mesa, no como un ejercicio puramente técnico. Si no se entiende bien qué servicio presta la entidad, a quién y con qué criticidad, el análisis de aplicabilidad nace cojo.

Lo que el Q&A no resuelve, aunque algunos quisieran que sí

Los documentos de preguntas y respuestas de la Comisión son útiles, pero no hacen magia. Este tampoco. Hay varias cuestiones donde el mercado sigue necesitando más detalle, bien por vía nacional, bien mediante orientaciones del Grupo de Cooperación NIS, ENISA o futuras prácticas supervisoras.

La primera es la materialidad operativa de los incidentes. El artículo 23 traza la estructura, pero la traducción a umbrales internos sigue siendo compleja. ¿Cuándo una degradación parcial del servicio es “grave”? ¿Cómo ponderar pérdidas indirectas? ¿Qué hacer con incidentes de terceros que todavía no están totalmente confirmados? El Q&A ayuda, pero no sustituye el juicio interno ni la necesidad de playbooks finos.

La segunda es la coordinación entre regímenes de notificación. En organizaciones grandes, una misma crisis puede activar NIS2, GDPR, DORA, obligaciones contractuales con clientes críticos, deberes de comunicación al mercado si la compañía cotiza y notificaciones sectoriales adicionales. La Comisión reconoce el ecosistema; lo que no ofrece es un mecanismo operativo único que elimine la fragmentación. Era mucho pedir, sí, pero ésa es justamente la dificultad del cumplimiento real.

La tercera es la supervisión de grupos y cadenas complejas de suministro. NIS2 está pensada en torno a entidades. La realidad empresarial está pensada en torno a grupos, servicios compartidos, SOC centralizados, plataformas comunes y proveedores transnacionales. Eso obliga a diseñar controles que puedan evidenciar cumplimiento por entidad legal sin desmantelar la operación global. No es imposible. Solo requiere bastante más trabajo del que sugieren algunas presentaciones de veinte diapositivas.

Qué deberían hacer ahora las empresas, sin teatro regulatorio

El Q&A no cambia el texto de NIS2, pero sí estrecha la coartada del “estamos esperando claridad”. A estas alturas, la claridad relevante ya existe para tomar decisiones de fondo. Si una organización está potencialmente dentro del alcance, hay cuatro frentes que no admiten mucha demora.

El primero es el alcance legal y societario. Hay que identificar qué entidades del grupo están cubiertas, por qué categoría, en qué país y bajo qué autoridad competente. Parece básico. No siempre lo es. Muchas organizaciones descubren tarde que su perímetro regulatorio no coincide con su perímetro operativo.

El segundo es el modelo de gobernanza. El órgano de dirección debe aprobar y supervisar medidas. Eso exige calendarizar reportes, definir métricas que sirvan para decidir de verdad, asignar presupuesto y documentar la supervisión. Si el consejo solo recibe mapas de calor genéricos, no está supervisando nada útil.

El tercero es la integración de incidentes y reporting. Hay que unificar criterios entre seguridad, legal, privacidad, continuidad y comunicación. El reloj de 24 horas del artículo 23 convierte cualquier desconexión interna en riesgo regulatorio inmediato.

El cuarto es la cadena de suministro. No basta con saber quiénes son los proveedores críticos. Hay que saber qué controles se les exige, qué evidencias entregan, qué dependencia existe, cómo se notificarán incidentes y cómo se ejecutará una salida o sustitución si el proveedor falla.

En entidades financieras europeas, además, este trabajo debe coordinarse con DORA. No para duplicarlo, sino para evitar precisamente la duplicación. La pregunta inteligente no es “¿NIS2 o DORA?”. La pregunta inteligente es “¿qué control cumple qué obligación y dónde necesito ajustes por jurisdicción o sector?”. Esa diferencia de enfoque ahorra más dinero que muchos programas de optimización que luego acaban creando tres matrices en lugar de una.

Implicaciones para entidades financieras españolas

Para banca, seguros, infraestructuras de mercado y proveedores tecnológicos del sector financiero en España, la publicación del Q&A tiene un efecto menos visible que un reglamento nuevo, pero relevante. Refuerza la expectativa de que los supervisores y autoridades nacionales no van a aceptar programas de resiliencia digital fragmentados ni justificaciones basadas en la supuesta ambigüedad eterna de NIS2.

En la práctica, una entidad financiera española debería revisar tres capas a la vez. La primera es DORA, aplicable desde el 17 de enero de 2025, especialmente en gestión de riesgo TIC, incidentes, pruebas y terceros. La segunda es la eventual interacción con NIS2 si determinadas entidades del grupo, servicios o proveedores quedan dentro de su perímetro o del perímetro nacional de transposición. La tercera son los requisitos domésticos de supervisión del Banco de España, CNMV, DGSFP u otras autoridades competentes según el caso, además de esquemas de ciberseguridad y continuidad ya exigidos en cada subsector.

El punto ciego más común está en los proveedores tecnológicos que dan servicio al sistema financiero sin ser, ellos mismos, entidades financieras. Un MSP, una firma de software crítico o un operador de infraestructura digital puede estar alcanzado por NIS2 y, al mismo tiempo, ser pieza clave para que una entidad sujeta a DORA cumpla sus propias obligaciones. Si uno falla, el otro hereda el problema. La resiliencia compartida suena muy bien en Bruselas; en el comité de crisis suena más a llamada a las tres de la mañana.

Para las entidades españolas con operaciones europeas, conviene también revisar la asignación de responsabilidades entre filiales y matriz. Si el SOC, la respuesta a incidentes o la gestión de terceros se prestan de forma centralizada desde otro país, habrá que demostrar cómo esa estructura satisface exigencias locales de NIS2 y, en su caso, DORA. La centralización operativa no exime de responsabilidad regulatoria por entidad. Ojalá lo hiciera. Haría felices a muchos grupos.

La lectura política: Bruselas quiere menos excusas y más ejecución

El tono del Q&A encaja con una tendencia regulatoria clara en la UE: menos fascinación por la retórica de la ciberresiliencia y más presión sobre la ejecución verificable. NIS2, DORA, CER y el resto del mosaico europeo comparten esa lógica. Ya no basta con tener políticas bonitas, marcos de control que encajan en una auditoría y un proveedor que promete inteligencia artificial para todo. El regulador quiere saber si la entidad puede resistir, responder, notificar y recuperarse.

Ese cambio también es cultural. Durante años, muchas organizaciones gestionaron la ciberseguridad como una mezcla de proyecto técnico, requisito de clientes y problema reputacional. NIS2 la convierte, sin demasiada poesía, en obligación de dirección, deber organizativo y riesgo sancionable. El Q&A de la Comisión no crea esa realidad. Solo la subraya con rotulador fluorescente para quien aún prefería no verla.

Hay, además, una razón política evidente detrás de este esfuerzo aclaratorio. La UE no puede permitirse que una de sus piezas centrales de ciberseguridad llegue al mercado rodeada de confusión persistente, transposiciones desiguales y empresas diciendo que todavía “están evaluando”. La amenaza es demasiado concreta y la dependencia digital demasiado profunda. Ataques a hospitales, MSP comprometidos, explotación de vulnerabilidades en cadena y dependencia estructural de unos pocos proveedores globales han convertido la ciberresiliencia en una cuestión de funcionamiento económico básico. No de imagen.

La conclusión incómoda: el Q&A ayuda, pero ya no sirve como refugio

La publicación de preguntas y respuestas por parte de la Comisión Europea sobre NIS2 es útil y llega en buen momento. Aclara alcance, recuerda plazos, refuerza la distinción entre entidades esenciales e importantes, subraya el papel del órgano de dirección y sitúa la directiva dentro del ecosistema regulatorio europeo. Todo eso está bien. Y, sin embargo, lo más relevante del documento no es lo que añade, sino lo que quita: margen para seguir posponiendo decisiones.

Si tu organización está dentro del perímetro de NIS2, la conversación ya no debería girar en torno a si habrá más guías. Habrá más guías, sin duda. Bruselas produce guías con una regularidad admirable. La conversación seria va de otra cosa: si el inventario de entidades está hecho, si los umbrales de incidentes existen, si la cadena de suministro crítica está controlada, si el consejo entiende lo que aprueba y si la coordinación con otros regímenes —DORA, GDPR, normas nacionales— está resuelta de forma operativa.

Aquí está el quid. NIS2 no se incumple solo por no tener tecnología. También se incumple por no tener decisiones, responsables y evidencias. El Q&A de la Comisión no es una revolución jurídica. Es un aviso político bastante claro de que la fase de interpretación indulgente se va acabando. Y cuando esa fase termina, lo que queda es trabajo. Mucho trabajo. Del menos glamuroso, además: gobernanza, contratos, procedimientos, formación, escalados, pruebas, evidencias. Justo el tipo de cosas que sostienen la resiliencia real cuando deja de haber tiempo para los PowerPoint.