- Nuevo paquete de ciberseguridad de la Comisión Europea con una Ley de Ciberseguridad revisada.
- Refuerzo de la seguridad en las cadenas de suministro TIC y redes 5G y 6G frente a proveedores de alto riesgo.
- Marco Europeo de Certificación de la Ciberseguridad (ECCF) más ágil y simplificado para empresas.
- Mayor papel de ENISA y ajustes en NIS2 para mejorar la gestión de riesgos y ataques en toda la UE.
La Unión Europea ha dado un paso más en su estrategia digital con la presentación de un nuevo paquete para impulsar la ciberseguridad en todo el territorio comunitario. La iniciativa, presentada por la Comisión Europea, busca reforzar la protección frente a ciberataques que afectan tanto a servicios esenciales como a instituciones democráticas, empresas y ciudadanos.
Este paquete incluye una Ley de Ciberseguridad revisada, ajustes en la Directiva NIS2 y un refuerzo del papel de la Agencia Europea de Ciberseguridad (ENISA). El objetivo es contar con normas más claras, herramientas más ágiles y un marco común que permita a los Estados miembros reaccionar mejor ante amenazas crecientes y cada vez más sofisticadas.
Un paquete de ciberseguridad para una UE más resiliente
La Comisión Europea subraya que la Unión se enfrenta diariamente a ciberataques dirigidos contra infraestructuras críticas, servicios básicos —como energía, agua o sanidad— y organismos públicos. En este contexto, el nuevo paquete persigue reforzar la resiliencia y las capacidades de ciberseguridad de los Estados miembros, con una atención especial a las cadenas de suministro tecnológicas y a las redes de telecomunicaciones.
La nueva Ley de Ciberseguridad está concebida para entrar en vigor inmediatamente después de ser aprobada por el Parlamento Europeo y el Consejo. Una vez adoptada, los países de la UE dispondrán de un plazo de un año para adaptar la Directiva a sus marcos normativos nacionales, lo que obligará a un esfuerzo coordinado de transposición legislativa en todos los Estados miembros, incluida España.
El paquete no solo pretende reaccionar a los incidentes, sino también reducir de raíz las vulnerabilidades en productos, servicios y redes. Para ello, combina medidas preventivas, requisitos de gestión de riesgos, mecanismos de certificación y herramientas de coordinación a escala europea.
Desde Bruselas se insiste en que las amenazas digitales ya no son únicamente un problema técnico, sino un reto de primer orden para la democracia, la economía y el modelo de vida europeo. La vicepresidenta responsable de la política digital ha remarcado que con este paquete la UE pretende dotarse de los instrumentos necesarios para proteger mejor sus tecnologías y su cadena de suministro.
Refuerzo de la seguridad en las cadenas de suministro TIC
Uno de los pilares del nuevo paquete es el fortalecimiento de la seguridad en la cadena de suministro de las tecnologías de la información y la comunicación (TIC). Los recientes incidentes de ciberseguridad han evidenciado hasta qué punto una vulnerabilidad en un proveedor puede tener efectos en cascada sobre servicios e infraestructuras críticas en toda la Unión.
La Ley de Ciberseguridad revisada establece un marco común y armonizado para abordar los riesgos derivados de proveedores de terceros países considerados problemáticos desde el punto de vista de la ciberseguridad. Este enfoque, basado en el riesgo y en criterios proporcionados, permitirá a la UE y a los Estados miembros identificar y mitigar conjuntamente las amenazas en hasta 18 sectores críticos, incluidos energía, transporte, salud, agua, servicios financieros o infraestructuras digitales.
Entre las medidas contempladas figura la posibilidad de exigir la eliminación obligatoria de riesgos en las redes móviles europeas cuando procedan de proveedores calificados como de alto riesgo. Esta línea de actuación se apoya en el trabajo realizado en los últimos años con el conjunto de herramientas de seguridad 5G, que ya orientaba a los Estados miembros sobre cómo gestionar a los llamados «proveedores de alto riesgo» en redes de nueva generación.
La Comisión pone especial foco en las redes 5G y 6G, pero también en otros ámbitos sensibles como el suministro de agua y electricidad, los servicios de computación en la nube, los equipos de vigilancia, los dispositivos médicos o los semiconductores. En todos estos sectores se considera prioritario limitar el acceso de empresas que puedan suponer un riesgo para la seguridad europea.
La futura norma no menciona directamente a países o compañías concretas, pero sí define un procedimiento estructurado para evaluar riesgos y elaborar una lista de actores que deban ser restringidos. La Comisión podrá iniciar esa evaluación por iniciativa propia o a petición conjunta de al menos tres Estados miembros, y una vez que una empresa figure en la lista, los países estarán obligados a aplicar su exclusión en un plazo máximo de tres años.
Este enfoque ha generado ya reacciones por parte de algunos proveedores afectados. Desde ciertos fabricantes de fuera de la UE se cuestiona que una restricción basada en el país de origen, y no exclusivamente en criterios técnicos verificables, pueda chocar con principios como la no discriminación o con obligaciones en el marco de la Organización Mundial del Comercio (OMC). Pese a ello, Bruselas mantiene que la prioridad es garantizar un nivel de seguridad adecuado en infraestructuras esenciales.
Certificación más sencilla y eficaz para productos y servicios
Otro elemento clave del paquete es la reforma del Marco Europeo de Certificación de la Ciberseguridad (ECCF), que se actualiza para hacerlo más claro, ágil y útil tanto para las empresas como para las administraciones. La idea es que los productos y servicios que lleguen al mercado europeo sean ciberseguros desde su diseño y se sometan a pruebas de manera más eficaz.
Con el ECCF renovado, los sistemas de certificación deberán desarrollarse en un plazo máximo de 12 meses, lo que pretende evitar dilaciones que hasta ahora dificultaban la implantación de esquemas comunes en toda la UE. Además, se introduce una gobernanza más ágil y transparente, con mayor participación de las partes interesadas a través de procesos públicos de información y consulta.
Los esquemas de certificación, gestionados por ENISA, se conciben como una herramienta práctica y de carácter voluntario para las empresas, que podrán demostrar de forma más sencilla su cumplimiento de la legislación europea en materia de ciberseguridad. Esto debería traducirse en una reducción de cargas administrativas y costes, especialmente para aquellas organizaciones que operan en varios países de la UE.
Más allá de los productos y servicios TIC tradicionales, el marco permitirá que empresas y organizaciones puedan certificar su nivel global de ciberseguridad para responder mejor a las demandas del mercado. Esto abre la puerta a que tanto grandes corporaciones como pymes utilicen la certificación como elemento diferenciador y como garantía ante clientes y socios.
La intención es que este sistema contribuya a crear un mercado interior más coherente en materia de ciberseguridad, en el que los certificados emitidos en un Estado miembro sean reconocidos en el resto, evitando duplicidades y facilitando la actividad transfronteriza de proveedores tecnológicos.
Normas de ciberseguridad de la UE y ajustes en NIS2
El paquete de ciberseguridad incorpora también cambios dirigidos a simplificar el cumplimiento normativo para las empresas que operan en el mercado europeo. Estas medidas se coordinan con la propuesta de ventanilla única para la notificación de incidentes asociada a la llamada Directiva Ómnibus Digital, con el objetivo de reducir la fragmentación regulatoria.
En concreto, se plantean modificaciones específicas de la Directiva NIS2 para reforzar la seguridad jurídica. Entre las novedades se incluyen reglas más claras sobre jurisdicción, mecanismos para agilizar la recogida de datos relativos a ataques de ransomware y procedimientos mejor definidos para la supervisión de entidades que actúan en varios Estados miembros.
La coordinación entre autoridades nacionales se verá reforzada gracias a un papel ampliado de ENISA, que actuará como punto de apoyo para la supervisión de entidades transfronterizas y para la compartición de información sobre incidentes relevantes. Esto es especialmente importante en sectores donde las infraestructuras y servicios están interconectados entre varios países.
El paquete también prevé la creación de un punto de acceso único para la notificación de incidentes de ciberseguridad, gestionado por ENISA en el marco del paquete digital más amplio. La idea es que las organizaciones no tengan que enfrentarse a un mosaico de procedimientos distintos, sino a un canal armonizado que facilite el reporte de incidentes y la respuesta coordinada.
Al simplificar normas y procedimientos, Bruselas pretende facilitar que las empresas, incluidas las españolas, puedan gestionar mejor sus riesgos digitales sin perder competitividad ni verse atrapadas en una maraña burocrática. Al mismo tiempo, se busca que las autoridades públicas cuenten con datos más fiables y comparables sobre la evolución de las amenazas.
Más peso para ENISA y creciente presión de los ciberataques en Europa
El nuevo paquete de medidas otorga a la Agencia Europea de Ciberseguridad (ENISA) un rol aún más relevante en la arquitectura de seguridad digital de la UE. La agencia será un actor central en la gestión de los sistemas de certificación, la coordinación entre países y la emisión de alertas tempranas sobre ciberamenazas e incidentes.
ENISA tendrá el mandato de ayudar a los Estados miembros y a las instituciones europeas a entender mejor las amenazas comunes, prepararse frente a incidentes y responder de forma coordinada cuando se produzcan ataques. También impulsará un enfoque europeo para mejorar los servicios de gestión de vulnerabilidades, ofreciendo apoyo técnico y orientación a las distintas partes interesadas.
La importancia de este refuerzo se entiende mejor si se observa la intensidad de los incidentes recientes. Según datos puestos de relieve por la propia Comisión, países como Polonia, Francia y España registraron en una sola semana decenas de incidentes cibernéticos, lo que confirma que la región es un objetivo constante para actores maliciosos.
Además, grandes economías de la UE como Alemania, Francia, Italia y España han tenido que destinar cientos de miles de millones de euros entre 2020 y 2025 para hacer frente a los efectos de los ciberataques, un esfuerzo que ilustra tanto el coste económico de estas amenazas como la necesidad de invertir en prevención.
El proyecto normativo que refuerza el papel de ENISA deberá ser ahora negociado entre los Estados miembros y el Parlamento Europeo antes de su entrada en vigor. Aun así, el mensaje político es claro: la ciberseguridad pasa a ser una prioridad estratégica de primer nivel dentro de la agenda europea, y se abordará con una combinación de regulación, coordinación y apoyo operativo.
Con este nuevo paquete legislativo, la Unión Europea pretende dotarse de un marco más sólido para afrontar un entorno digital cada vez más hostil. Al endurecer los requisitos sobre la cadena de suministro TIC, facilitar la certificación de productos y servicios, reforzar la cooperación a través de NIS2 y ampliar las competencias de ENISA, Bruselas busca que tanto las instituciones como las empresas y la ciudadanía dispongan de mayores garantías frente a los ciberataques, reduciendo vulnerabilidades y favoreciendo una respuesta más rápida y coordinada en todo el territorio europeo.
