EL CASO
Lunes, 07:42 CET. Eres CEO de una compañía cotizada del IBEX 35 — sector industrial, 8.000 empleados, presencia en 14 países. Empresa designada como entidad esencial bajo NIS2 y con exposición indirecta a DORA vía proveedor financiero crítico.
Durante el fin de semana, vuestro proveedor de software ERP — el mismo que usa el 30% del IBEX — ha sufrido un ataque de cadena de suministro. A las 07:42 recibes en el móvil tres mensajes casi simultáneos:
— CISO (WhatsApp): "Hemos detectado anomalías en el ERP. Estamos investigando. Posible compromiso de datos de cliente."
— Director Jurídico (correo): "Hay que evaluar obligación de notificación a CNMV antes de apertura del mercado (9:00)."
— Periodista de Expansión (móvil personal): "Hola, ¿tienes un minuto? Estamos publicando algo sobre el ataque al [proveedor]."
Son las 07:43. Tienes una hora y dieciocho minutos hasta que abra el mercado. Lo que decidas ahora dejará rastro durante meses.