Bruselas lanza la propuesta COM(2026) 11, conocida como ‘Cybersecurity Act 2’, con el objetivo de simplificar el cumplimiento normativo, potenciar a ENISA y garantizar que los productos digitales sean seguros desde el diseño.
La Comisión Europea ha dado un paso decisivo en su estrategia de defensa digital con la publicación de la propuesta para una nueva Ley de Ciberseguridad de la UE (EU Cybersecurity Act). Bajo la referencia oficial COM(2026) 11, este nuevo paquete legislativo busca actualizar y sustituir el marco vigente para responder a un panorama de amenazas cada vez más sofisticado y, sobre todo, para poner fin a la fragmentación regulatoria que amenaza el Mercado Único Digital.
La iniciativa llega en un momento crítico para el sector tecnológico y las telecomunicaciones, donde la seguridad de la cadena de suministro se ha convertido en la prioridad número uno tanto para los Estados miembros como para la industria.
Un escudo para la cadena de suministro TIC
Según el texto de la propuesta analizado, el pilar central de esta revisión es la resiliencia de las cadenas de suministro de Tecnologías de la Información y la Comunicación (TIC). La Comisión ha detectado que las vulnerabilidades en productos de terceros (software y hardware) son el vector de ataque más común, por lo que la nueva regulación exigirá que los productos que lleguen a los ciudadanos europeos sean “ciberseguros por diseño” (cyber-secure by design).
Esto implica un cambio de paradigma: la seguridad deja de ser una característica añadida para convertirse en un requisito de mercado ineludible desde la fase de desarrollo.
Fin a la fragmentación: Certificación simplificada
Uno de los puntos más demandados por la industria tecnológica, y que esta propuesta aborda directamente, es la complejidad de los procesos de certificación. Hasta ahora, la disparidad de esquemas nacionales obligaba a las empresas a certificar sus productos en múltiples países, encareciendo el despliegue de tecnología en Europa.
La nueva Cybersecurity Act propone un proceso de certificación más simple y armonizado. El objetivo es doble:
- Facilitar el cumplimiento: Reducir la carga burocrática para que las empresas, especialmente las pymes tecnológicas, puedan cumplir con las normas de ciberseguridad de la UE sin incurrir en costes prohibitivos.
- Evitar la fragmentación: Crear un estándar único real que permita que un producto certificado en un Estado miembro sea automáticamente aceptado en los otros 26, consolidando el mercado único.
ENISA gana músculo
La Agencia de la Unión Europea para la Ciberseguridad (ENISA) verá reforzado su mandato de manera significativa, ya que el texto legislativo propone dotar a la agencia de mayores capacidades para apoyar a los Estados miembros no solo en la prevención, sino en la gestión activa de amenazas. ENISA pasará a tener un rol central en la supervisión de los nuevos esquemas de certificación y en la coordinación de respuestas ante incidentes que afecten a múltiples países, actuando como el nodo central de la ciber-resiliencia europea.
Junto a la propuesta principal, la Comisión ha liberado tres documentos clave que sustentan la necesidad de esta reforma:
- Los Anexos a la Propuesta (COM(2026) 11): Que detallan los requisitos técnicos específicos.
- La Evaluación de Impacto: Un análisis exhaustivo que justifica económicamente la medida, señalando los costes millonarios que los ciberataques están suponiendo para la economía de la UE frente al coste de implementación de la nueva norma.
Con la publicación de los documentos, la pelota pasa al tejado del Parlamento Europeo y del Consejo, donde se espera un debate intenso a lo largo de los próximos meses; especialmente en torno a los plazos de implementación y las exigencias técnicas para las pymes, antes de que la CSA2 se convierta en ley vinculante.
Si (
No(
