ESPECÍFICO DE LA ENTIDAD

CIBERSEGURIDAD Y TRATAMIENTO DE DATOS

SBM-3 - IMPACTOS, RIESGOS Y OPORTUNIDADES MATERIALES Y SU INTERACCIÓN CON LA ESTRATEGIA Y EL MODELO DE NEGOCIO

Específico de la entidad	Fase de la cadena de valor*	Descripción	Probabilidad de ocurrencia	Horizontes temporales
Ciberseguridad
(+) Impacto	OP, S	Prevención y/o mitigación de incidentes que puedan afectar a la integridad de las infraestructuras gestionadas por la Compañía, así como a la integridad y privacidad de las personas, y/o al medioambiente.	Actual	C
(+) Impacto	CV	Mejora de la cultura de ciberseguridad entre las partes interesadas de la empresa.	Actual	C
(-) Impacto	CV	Materialización de incidentes que puedan impactar en la integridad de las infraestructuras gestionadas por la Compañía, a la integridad y privacidad de las personas y/o al medio ambiente.	Actual	C
Riesgo	CV	Ciberataques sofisticados que afectan a las operaciones, productividad, información, propiedad intelectual o imagen/reputación de la Compañía, así como a la integridad de las personas.		C
Riesgo	CV	Multas y sanciones severas por incumplimiento de la normativa y de los marcos de control de la aplicación.		C
Oportunidad	CV	La seguridad como motor del negocio, reforzando la ventaja competitiva de la empresa mediante prácticas de seguridad avanzadas y altos niveles de cumplimiento.		C
Oportunidad	CV	Mejora del gobierno corporativo y de la confianza en la Compañía.		C

* OP: Operaciones propias; CV: Cadena de valor; Com: Compras; Cl: Clientes; S: Socios; C: Corto plazo; M: Medio plazo; L: Largo plazo

MDR-P: POLÍTICAS

Ferrovial cuenta con una Política Corporativa de Ciberseguridad aprobada por el Consejero Delegado en 2022, que se aplica a todas las divisiones y filiales y que puede consultarse en la página web de la compañía. Sus principios y objetivos se encuentran en consonancia con la estrategia empresarial. Se implementa mediante Políticas de Seguridad que engloban organización, personas, procesos y tecnologías, formalizadas en un conjunto de Principios de Seguridad basados en las mejores prácticas del sector, destacando el NIST CSF y la norma ISO 27001, bajo la que Ferrovial está certificada desde 2012.

Política	Política de Ciberseguridad
Descripción	La presente Política define los principios y directrices para salvaguardar la información, los sistemas y las operaciones de Ferrovial frente a las ciberamenazas, garantizando la confidencialidad, integridad y disponibilidad de los activos digitales. Respalda el compromiso de la organización con la continuidad del negocio y la gestión segura de los datos.
Objetivo	La política pretende: Garantizar un entorno digital y tecnológico con el nivel de Seguridad necesario. Garantizar el cumplimiento legal, regulatorio y contractual. Garantizar la resistencia operativa frente a los ciberataques. Fomentar una cultura de concienciación y responsabilidad en ciberseguridad entre empleados, proveedores y socios.
Impactos, riesgos y oportunidades materiales asociados	Impactos materiales: Pérdidas financieras potenciales, daños a la reputación, incumplimiento legal, regulatorio y contractual, e interrupciones debidas a incidentes cibernéticos. Riesgos: Ataques cibernéticos sofisticados que afectan las operaciones, la productividad, la información, la propiedad intelectual o la imagen/reputación de la Compañía, así como la integridad de las Multas y sanciones severas por incumplimiento de la normativa y de los marcos de control de la aplicación. Oportunidades: Fomentar la confianza de las partes interesadas mediante prácticas sólidas de ciberseguridad, aprovechar la innovación para obtener ventajas competitivas y cumplir con los estándares regulatorios globales para reforzar el posicionamiento en el mercado.
Proceso de seguimiento y corrección	Ferrovial garantiza la aplicación y el cumplimiento de la Política de Ciberseguridad mediante revisiones periódicas de los riesgos y controles que abarcan todas las unidades de negocio y los activos participados. Esta información se comunica periódicamente a los Órganos de Gobierno de la Compañía que supervisan el estado de la Ciberseguridad.
Ámbito de la política
Partes interesadas	Todos los empleados, proveedores y clientes de Ferrovial con acceso a sistemas o datos de la Compañía.
Áreas geográficas	Global
Aplicación en la cadena de valor	La política se extiende a toda la cadena de valor, incluidos los proveedores y clientes, garantizando prácticas seguras en todas las interacciones comerciales. La ciberseguridad es una práctica que respalda los activos digitales que, en última instancia, apoyan las actividades empresariales.
Exclusiones a la aplicación	Actualmente no hay exclusiones; la política se aplica a todas las áreas de actividad, geografías y partes interesadas a nivel mundial.
Flujo de aprobación de la política
Parte responsable	Consejero Delegado (CEO): responsable de aprobar y aplicar la política
Otras cuestiones que comunicar (si procede)
Coherencia con instrumentos o normas de terceros	La política cumple: Normas internacionales, incluida la ISO 27001 Normativas europeas como el RGPD El Esquema Nacional de Seguridad (ENS) Políticas de Responsabilidad Corporativa y Sostenibilidad de Ferrovial
Compromiso de las partes interesadas	La política incorpora los comentarios de las principales partes interesadas para abordar de manera eficaz los problemas de ciberseguridad y garantizar una colaboración segura en toda la organización.
Cómo se proporciona	Esta política está disponible en la página web de Ferrovial (ferrovial.com) y en la intranet.
Cambios importantes en la política	N/A – no se han realizado cambios.

"Impactos, riesgos y oportunidades materiales asociados" es un concepto relacionado con el NEIS y la doble materialidad. NO está relacionado con la materialidad de los incidentes cibernéticos considerados por la SEC.

MDR-A: ACTUACIONES

EL MODELO DE DETECCIÓN, CORRELACIÓN Y CIBERINTELIGENCIA DE AMENAZAS

La Compañía cuenta con capacidades de SOC (Centro de Operaciones de Seguridad) para proteger sus centros de datos, perímetros, puntos finales y entornos en la nube. Este servicio responde a las alertas generadas por las herramientas SIEM (Security Information and Event Management) y detecta eventos de acuerdo con los casos de uso definidos por la Dirección de Ciberseguridad de Ferrovial.

Actualmente existe una plataforma SOAR (Security Orchestration Automation and Response) que permite la integración y el funcionamiento coordinados de diversas herramientas de prevención y protección, facilitando la detección y respuesta automatizadas, así como la orquestación de actividades para la contención, resolución y neutralización de amenazas.

La organización integra capacidades avanzadas de ciberseguridad para la protección frente a amenazas y la detección de compromisos relacionados con la información, como accesos no autorizados, transmisión anómala de grandes volúmenes de datos y exfiltración, ya sea a través del almacenamiento físico o de servicios en la nube.

Las capacidades de ciberinteligencia amplían los procesos de detección de amenazas y mejoran las capacidades de respuesta mediante la identificación de Indicadores de Compromiso (IoC) y Tácticas, Técnicas y Procedimientos (TTP) utilizados por los ciberdelincuentes para llevar a cabo sus ataques. También se llevan a cabo ejercicios de caza de amenazas para identificar compromisos potenciales que no se hayan detectado previamente.

Por último, la Compañía intercambia información sobre amenazas y gestiona incidentes en coordinación con organismos nacionales e internacionales de ciberseguridad cuando procede.

RESPUESTA A LOS CIBERATAQUES

La Compañía cuenta con un CSIRT (Computer Security Incident Response Team) que responde a los eventos detectados por el SOC (Security Operations Center) que pueden convertirse en incidentes de seguridad. Este equipo cuenta con capacidades DFIR (Digital Forensics and Incident Response) para analizar, contener, mitigar y prevenir este tipo de sucesos. La identificación periódica de IoC(Indicadores de Compromiso) y TTP(Tácticas, Técnicas y Procedimientos) es clave para mejorar los mecanismos de protección y detección y la respuesta del SOC, tanto manual como automatizada.

Asimismo, Ferrovial cuenta con herramientas de postura de ciberseguridad que permiten evaluar en tiempo real el cumplimiento de parámetros y controles de seguridad específicos, de la infraestructura TI gestionada (en centros de datos y entornos cloud) y de los endpoints. Esto proporciona una visión global de los riesgos y controles relacionados con las recomendaciones de seguridad emitidas por los fabricantes, las normas del mercado y los marcos de seguridad, además de permitir el desarrollo de planes de acción para mejorar la postura.

Las capacidades y procesos descritos anteriormente están impulsados por la inteligencia artificial generativa, tanto con fines de optimización como para contrarrestar las nuevas técnicas aplicadas por los ciberdelincuentes, que también se basan en estas tecnologías.

Ferrovial dispone de un protocolo de respuesta ante incidentes basado en las mejores prácticas del mercado (Guía INCIBE-CERT, ISO/IEC 27035 y NIST). Además, se ha implantado un procedimiento global para la identificación y comunicación de ciberincidentes materiales a los organismos reguladores (SEC, agencias nacionales e internacionales de ciberseguridad, AEPD, entre otros). La comunicación con reguladores, autoridades, clientes y otros grupos de interés, a través de mecanismos en plazos concretos, es uno de los elementos clave para que Ferrovial garantice la transparencia y la debida diligencia.

Las capacidades de detección y respuesta se evalúan sistemáticamente mediante simulaciones de Breach & Attack y Pentesting, utilizando tecnologías disponibles en el mercado (Cymulate y Pentera, respectivamente).

Es importante destacar que, durante 2025, no se produjeron brechas materiales de ciberseguridad en los sistemas de información de Ferrovial. El CSIRT y el equipo de Ciberseguridad de Ferrovial gestionaron aproximadamente 3.165 incidentes.

RESILIENCIA Y CIBERRESILIENCIA

La Compañía ha establecido Planes de Contingencia y Planes de Recuperación para responder y recuperarse de acontecimientos perturbadores. Ferrovial está invirtiendo actualmente en la evolución del modelo de Continuidad, con el objetivo de adoptar un enfoque más global para estandarizar las prácticas en todas las divisiones de negocio de la Compañía.

Estos Planes de Contingencia cubren los escenarios de crisis desencadenados por las ciberamenazas. Existe un Comité de Crisis Cibernética encargado de gestionar este tipo de incidentes. Asimismo, Ferrovial dispone de un procedimiento para comunicar incidentes a los reguladores y otras partes interesadas en este ámbito.

Ferrovial, consciente de la importancia de la resiliencia en su cadena de suministro, incorpora la verificación de los planes de contingencia y recuperación en el proceso de Gestión de Riesgos de Proveedores (VRM ), en el contexto del servicio prestado a la Compañía.

El modelo de continuidad de la actividad establece la necesidad de realizar pruebas periódicas de los planes, por lo que a lo largo del año se han llevado a cabo pruebas del Table-Top y del Plan de Recuperación de Desastres. Los resultados han sido globalmente positivos y se han identificado oportunidades de mejora, que se están aplicando actualmente.

La Compañía mantiene una póliza de seguro cibernético, habiendo ampliado los límites y tipos de cobertura para eventos disruptivos e incidentes cibernéticos que puedan ocurrir en el contexto de las actividades llevadas a cabo por Ferrovial, sus unidades de negocio y filiales; estos incluyen cobertura financiera, respuesta a incidentes y asesoramiento legal. Cabe señalar que en 2025 no fue necesario activar esta política, ya que no se produjeron incidentes cibernéticos importantes.

GESTIÓN DE RIESGOS DE TERCEROS

El programa Vendor Risk Management (VRM) de Ferrovial define los requisitos de seguridad que deben cumplir terceros, en función del tipo de servicio que prestan a la Compañía y del nivel de acceso que tienen a su información y activos digitales.

En 2025, se ha automatizado y sistematizado el proceso de alta de proveedores, y actualmente se están llevando a cabo procesos de automatización y sistematización del seguimiento de los proveedores que prestan servicios recurrentes a Ferrovial.

El proceso VRM evalúa las acreditaciones, certificaciones, cualificaciones y pruebas que atestiguan el nivel de cumplimiento en materia de seguridad del producto o servicio pertinente proporcionado por el vendedor, así como el nivel de madurez en materia de seguridad que el vendedor puede demostrar. Si se detectan riesgos importantes durante los procesos de revisión, se toman las medidas oportunas, incluida la rescisión del contrato.

La gestión de riesgos de terceros garantiza que los incidentes cibernéticos que puedan afectar a Ferrovial se notifiquen a tiempo y que existan planes de respuesta y recuperación en caso necesario.

VERIFICACIÓN EXTERNA Y ANÁLISIS DE VULNERABILIDAD

Como parte del proceso de mejora continua de Ferrovial, es fundamental la realización de auditorías tanto internas como externas para identificar vulnerabilidades y áreas de mejora, cuya implantación reforzará la ciberseguridad y contribuirá a mitigar los riesgos.

A continuación se detallan las revisiones y auditorías que se llevan a cabo de forma recurrente en la organización:

Auditorías internas y de terceros basadas en la certificación ISO 27001.
Auditorías SOX integradas:
- Controles
- Controles del modelo de ciberseguridad.
Auditoría externa realizada por SWIFT (Sociedad para las Telecomunicaciones Financieras Interbancarias Mundiales).
Auditorías realizadas por Auditoría Interna (tercera línea de defensa) de acuerdo con su plan anual (dos o tres auditorías anuales).
Cuestionarios, aprobaciones de seguridad requeridas por los clientes de Ferrovial.
Índice Dow Jones Best-in-Class.
Informe de Sostenibilidad ESG (doble materialidad).
Revisiones de seguridad ad hoc de acuerdo con la planificación anual
Breach & attack, y pentesting recurrente basado en las herramientas Cymulate y Pentera, según planificación anual.
Revisión de la caza de amenazas y evaluación de compromisos para identificar posibles compromisos/infracciones no detectados por los sistemas de supervisión
Revisión de vulnerabilidades en centros de datos, endpoints, perímetros y entornos en nube, así como en entornos industriales
Revisión de vulnerabilidades en el código fuente.
Revisión del rating de ciberseguridad de Ferrovial a través de BitSight.
Revisiones de los riesgos de seguridad de los proveedores (gestión de riesgos de proveedores).
Simulacros de crisis (ejercicios de mesa).
Gestión de la postura mediante herramientas de ciberseguridad ( Microsoft Compliance y Wiz).

El Departamento de Ciberseguridad consolida, asigna, planifica y supervisa la aplicación de los distintos planes de acción derivados de las evaluaciones, revisiones y auditorías realizadas.

El proceso de revisión por la dirección se lleva a cabo formalmente con carácter anual, siendo uno de sus objetivos la revisión del nivel de consecución correspondiente a las acciones de ciberseguridad previstas. Este proceso está supervisado por el CISO Global, teniendo en cuenta una serie de datos, como los KGI y los KPI, los resultados de los procesos de auditoría y revisión, y el seguimiento de los planes de tratamiento de riesgos.

MDR-T: METAS

Los objetivos definidos en la Política Corporativa de Ciberseguridad se miden mediante Indicadores de Objetivos Clave (KGI) definidos en el Sistema de Gestión de la Seguridad de la Información (SGSI), que se basa en la norma ISO 27001, auditada anualmente por BSI. Esto permite supervisar la eficacia de la aplicación de la Política. Los indicadores se basan en mediciones de las capacidades organizativas, tecnológicas y de procesos relacionadas con la ciberseguridad, asociadas a cada uno de los Objetivos Estratégicos establecidos en la Política.

Algunos de los principales objetivos son:

Garantizar un entorno digital y tecnológico con el nivel de Seguridad necesario.
Garantizar el cumplimiento legal, regulatorio y contractual.
Gestionar adecuadamente los incidentes de seguridad y reforzar la capacidad de reacción ante ellos.
Fomentar una cultura de seguridad adecuada.
Armonizar la seguridad en las distintas unidades de negocio y filiales.
Facilitar la digitalización, la innovación y la adopción de nuevas tecnologías para apoyar el negocio.
Facilitar oportunidades de negocio y procesos de licitación.
Establecimiento de asociaciones estratégicas en el ámbito de la seguridad.
Fomentar una cultura de concienciación y responsabilidad en ciberseguridad entre empleados, proveedores y socios.

MDR-M: MÉTRICAS

100% de incidentes de seguridad gestionados con éxito	193.592 correos electrónicos de simulación de phishing recibidos anualmente por los empleados	11.431 usuarios únicos incluidos anualmente en simulaciones de phishing
61.538 correos electrónicos de phishing bloqueados al mes por los sistemas de la compañía	14.991 intentos de acceso a recursos corporativos bloqueados (fuente maliciosa/no fiable) al mes	9,3 ataques de ransomware detectados y bloqueados automáticamente al mes

Incidentes de seguridad

En 2025, el 100% de los incidentes de seguridad se gestionaron con éxito. El objetivo de este indicador es verificar que los incidentes de seguridad que se producen en Ferrovial se gestionan de la mejor manera posible para mitigar su potencial impacto. Solo se incluyen en esta revisión los incidentes gestionados por el Departamento de Ciberseguridad, que abarcan todas las divisiones de negocio que utilizan Productos y Servicios Digitales Corporativos. El criterio de medición es la proporción de incidentes gestionados correctamente frente al número total de incidentes registrados en el periodo de referencia, basándose en el tiempo de respuesta, las medidas adoptadas, el seguimiento y la recopilación de pruebas, la resolución, el análisis de la causa raíz proporcional al tipo de incidente y las lecciones aprendidas. Los datos proporcionados corresponden a la media anual, calculada a partir de todas las mediciones mensuales recogidas durante el año comprendido entre enero de 2025 y diciembre de 2025. Este control forma parte del marco de ciberseguridad SOX y es revisado por el auditor externo PwC.

Correos electrónicos de simulación de phishing recibidos por los empleados

En 2025, los empleados recibieron un total de 193.592 correos electrónicos de simulación de phishing, en el marco de una formación periódica y sistemática destinada a reforzar la capacidad de los usuarios para identificar posibles amenazas. Esta métrica se basa en el número de correos electrónicos emitidos a través de la plataforma de concienciación durante campañas de phishing simuladas, limitadas a usuarios gestionados por el Departamento de Ciberseguridad Corporativa, que abarcan de enero a diciembre de 2025. El KPI está integrado en el Sistema de Gestión de la Seguridad de la Información (SGSI) y es auditado externamente por BSI en el marco de la certificación ISO 27001, lo que garantiza la solidez y trazabilidad del proceso.

Usuarios incluidos en simulaciones de phishing

A lo largo de 2025, 11.431 usuarios únicos participaron en simulaciones de phishing. El indicador refleja el número de usuarios únicos registrados en la plataforma de concienciación e implicados en simulaciones de phishing. Se aplica exclusivamente a los usuarios gestionados por el Departamento de

Ciberseguridad Corporativa y utiliza el número de usuarios únicos registrados en la plataforma KnowBe4. Este KPI forma parte del SGSI, y se somete a la auditoría externa (BSI) requerida para la certificación ISO 27001.

Correos electrónicos de phishing bloqueados

Los sistemas de la empresa bloquearon una media de 61.538 correos electrónicos de phishing al mes, a lo largo de 2025, lo que demuestra la eficacia y calidad de las capacidades de filtrado de la plataforma MS Defender. La métrica se calcula a partir del número total de mensajes de phishing, malware, correos electrónicos bloqueados por suplantación de identidad y mensajes bloqueados por políticas, excluyendo el spam. Se aplica únicamente a los usuarios dependientes del Departamento de Ciberseguridad Corporativa, y refleja una media anual de las mediciones mensuales recopiladas entre enero y diciembre de 2025. El KPI se incorpora al Sistema de Gestión de la Seguridad de la Información (ISMS) y está sujeto a una auditoría externa por parte de BSI en virtud de la certificación ISO 27001, lo que garantiza una supervisión y verificación rigurosas.

Intentos bloqueados de acceder a recursos corporativos

En 2025, la empresa bloqueó una media de 14.991 intentos al mes de acceder a recursos corporativos desde fuentes maliciosas o no fiables, lo que demuestra la eficacia y calidad del filtrado de comunicaciones realizado por la plataforma MS Defender. Este indicador se basa en el número de dominios maliciosos, IPs y URLs bloqueadas, y cubre a los usuarios gestionados por el Departamento de Ciberseguridad Corporativa, siguiendo la media anual calculada a partir de todas las mediciones mensuales recogidas entre enero y diciembre de 2025. El KPI forma parte del Sistema de Gestión de Seguridad de la Información (ISMS) y es auditado externamente por BSI bajo la certificación ISO 27001, garantizando una supervisión y verificación rigurosas.

Ataques de ransomware detectados y bloqueados automáticamente

En 2025, se detectó y bloqueó automáticamente una media anual de 9,3 ataques de ransomware al mes. Este indicador mide la eficacia de las capacidades de detección y protección frente al ransomware, tras la exclusión (manual) de posibles falsos positivos y abarca únicamente a los usuarios gestionados por el Departamento de Ciberseguridad Corporativa, utilizando el criterio de medición de Microsoft Defender (XDR), tras filtrar manualmente los posibles falsos positivos. Este KPI está incluido en el SGSI, y sujeto a la auditoría externa (BSI) requerida para la certificación ISO
27001.

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	11 months 29 days 23 hours 59 minutes	La cookie se establece por el consentimiento de cookies GDPR para registrar el consentimiento del usuario para las cookies en la categoría ''Publicidad''.
cookielawinfo-checkbox-analytics	11 months 29 days 23 hours 59 minutes	Esta cookie es establecida por GDPR Cookie Consent WordPress Plugin. La cookie se utiliza para recordar el consentimiento del usuario para las cookies de la categoría ''Analítica''.
cookielawinfo-checkbox-language	11 months 29 days 23 hours 59 minutes	Esta cookie es establecida por GDPR Cookie Consent WordPress Plugin. Las cookies recordarán las preferencias de idioma.
cookielawinfo-checkbox-necessary	11 months	Esta cookie es establecida por el plugin GDPR Cookie Consent. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-non-necessary	11 months	Esta cookie es establecida por el plugin GDPR Cookie Consent. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies de la categoría "No necesarias".
csrftoken	11 meses	Esta cookie está asociada con la plataforma de desarrollo web Django para Python. Se utiliza para ayudar a proteger el sitio web contra ataques de falsificación de solicitudes entre sitios.
lang		Esta cookie se utiliza para almacenar las preferencias de idioma de un usuario para servir contenido en ese idioma almacenado la próxima vez que el usuario visite el sitio web.
viewed_cookie_policy	11 months	La cookie es establecida por el plugin GDPR Cookie Consent y se utiliza para almacenar si el usuario ha consentido o no el uso de cookies. No almacena ningún dato personal.
wp-wpml_current_language	1 día	Usado por WPML para almacenar configuraciones de idioma.

Cookie	Duración	Descripción
_csrf	1 year	Cookie contra la falsificación de peticiones en sitios cruzados.
_ga	2 years	Esta cookie es instalada por Google Analytics. La cookie se utiliza para calcular los datos de visitantes, sesiones y campañas, y realizar un seguimiento del uso del sitio para el informe de análisis del sitio. Las cookies almacenan la información de forma anónima y asignan un número generado aleatoriamente para identificar a los visitantes únicos.
_gat	1 minute	Esta cookie es instalada por Google Universal Analytics para acelerar la tasa de solicitud y limitar la recopilación de datos en sitios de alto tráfico.
_gid	23 hours 59 minutes	Esta cookie es instalada por Google Analytics. La cookie se utiliza para almacenar información sobre cómo los visitantes utilizan un sitio web y ayuda a crear un informe analítico de cómo está funcionando el sitio web. Los datos recopilados incluyen el número de visitantes, la fuente de la que proceden y las páginas visitadas de forma anónima.
_hjAbsoluteSessionInProgress	30 minutes	Esta cookie se utiliza para detectar la primera sesión pageview de un usuario. Se trata de un indicador Verdadero/Falso establecido por la cookie.
dtCookie	Sesión

Cookie	Duración	Descripción
_fbp	2 months 28 days 23 hours 59 minutes	Esta cookie es instalada por Facebook para ofrecer publicidad cuando se encuentran en Facebook o en una plataforma digital impulsada por la publicidad de Facebook después de visitar este sitio web.
uid	1 año	Esta cookie se utiliza para medir el número y el comportamiento de los visitantes del sitio web de forma anónima. Los datos incluyen el número de visitas, la duración media de la visita en el sitio web, las páginas visitadas, etc. con el fin de comprender mejor las preferencias de los usuarios para los anuncios dirigidos.