La Comisión Europea propone una revisión profunda del Cybersecurity Act para blindar cadenas TIC, simplificar certificaciones y reforzar a ENISA, en un contexto de presión geopolítica y creciente preocupación del sector tecnológico y de telecomunicaciones por el impacto regulatorio.
La Unión Europea avanza hacia una nueva etapa en su política de ciberseguridad. La Comisión Europea ha presentado un paquete legislativo que revisa de forma integral la Ley de Ciberseguridad con el objetivo de reforzar la resiliencia digital del continente frente a un escenario marcado por el aumento de ataques cibernéticos, amenazas híbridas y riesgos en las cadenas de suministro de tecnologías de la información y la comunicación. La iniciativa pretende responder a un entorno geopolítico más inestable y a la creciente dependencia de infraestructuras digitales críticas en todos los ámbitos de la economía y la sociedad.
El nuevo marco propuesto por la Comisión Europea sitúa la seguridad de las cadenas de suministro TIC como uno de sus ejes centrales. La normativa busca reducir los riesgos derivados de proveedores de terceros países considerados problemáticos desde el punto de vista de la ciberseguridad, mediante un enfoque armonizado, proporcionado y basado en el riesgo.
Este planteamiento permitirá a la UE y a los Estados miembros identificar y mitigar amenazas de forma coordinada en los dieciocho sectores críticos definidos a nivel comunitario, teniendo en cuenta también las implicaciones económicas y la realidad del mercado.
La propuesta introduce la posibilidad de reducir de forma obligatoria los riesgos en las redes europeas de telecomunicaciones móviles asociados a proveedores de alto riesgo
Los recientes incidentes de ciberseguridad han puesto de manifiesto la vulnerabilidad de las cadenas de suministro TIC, esenciales para el funcionamiento de servicios e infraestructuras críticas. En este sentido, la propuesta introduce la posibilidad de reducir de forma obligatoria los riesgos en las redes europeas de telecomunicaciones móviles asociados a proveedores de alto riesgo, apoyándose en la experiencia acumulada con el conjunto de herramientas de seguridad 5G.
El objetivo consiste en ir más allá de la seguridad técnica de los productos y abordar también riesgos relacionados con dependencias estratégicas e interferencias extranjeras, en referencia a posibles inferencias a través de algunos operadores chinos.
Un marco de certificación más ágil y competitivo
Otro de los pilares de la revisión es la modernización del Marco Europeo de Certificación de la Ciberseguridad. El nuevo esquema persigue simplificar procedimientos y aportar mayor claridad a las empresas, con plazos de desarrollo de los regímenes de certificación que, por defecto, no superarán los doce meses.
Asimismo, se refuerza la gobernanza del sistema para garantizar una mayor transparencia y participación de las partes interesadas mediante procesos de información y consulta públicas.
La certificación, gestionada por la Agencia de la UE para la Ciberseguridad, se concibe como una herramienta práctica y voluntaria que permitirá demostrar el cumplimiento de la normativa europea con menor carga administrativa y costes reducidos.
Además de productos y servicios TIC, el nuevo enfoque abre la puerta a certificar la postura de ciberseguridad de organizaciones completas, lo que se presenta como un activo competitivo para las empresas europeas y una garantía adicional de confianza para ciudadanos y administraciones públicas.
Facilitar el cumplimiento normativo
El paquete legislativo también introduce ajustes destinados a simplificar el cumplimiento de las obligaciones de ciberseguridad. En particular, se proponen modificaciones específicas de la Directiva SRI 2 para aumentar la claridad jurídica y reducir duplicidades.
Estas medidas beneficiarán a cerca de 28.700 empresas, incluidas miles de pymes y microempresas, y crearán una nueva categoría de pequeñas empresas de mediana capitalización para aliviar costes de cumplimiento. Asimismo, se racionaliza la recogida de datos sobre ataques de ransomware y se refuerza la supervisión de entidades transfronterizas.
Un papel reforzado para ENISA
La revisión de la Ley de Ciberseguridad amplía las capacidades de ENISA como pilar del ecosistema europeo de ciberseguridad. La Agencia podrá apoyar de forma más activa a los Estados miembros en la anticipación, preparación y respuesta ante incidentes, emitir alertas tempranas y cooperar con Europol y los equipos de respuesta a incidentes.
Asimismo, asumirá la gestión del punto de entrada único para la notificación de incidentes y desarrollará servicios avanzados de gestión de vulnerabilidades. En el ámbito del talento, ENISA impulsará una Academia de Capacidades de Ciberseguridad y esquemas de certificación de competencias a escala de la UE.
Según la vicepresidenta ejecutiva para la Soberanía Tecnológica, la Seguridad y la Democracia, Henna Virkkunen, las amenazas cibernéticas “no son solo desafíos técnicos, sino riesgos estratégicos para nuestra democracia, economía y forma de vida”, y la nueva propuesta constituye un paso clave para reforzar la soberanía tecnológica europea.
La industria, entre el apoyo y la cautela
Las principales patronales tecnológicas y de telecomunicaciones europeas han acogido la iniciativa con matices. La GSMA, en representación de los operadores móviles, comparte el objetivo de reforzar la ciberseguridad, aunque advierte de que las nuevas obligaciones pueden generar costes significativos que reduzcan la capacidad de inversión en redes y en la evolución de la conectividad. A su juicio, las medidas deben estar estrictamente basadas en el riesgo y operativamente viables para no comprometer el despliegue de infraestructuras.
En esta misma línea se refiere Connect Europe, la patronal de los operadores europeos, que subraya que la seguridad de las redes es un pilar de la resiliencia europea, pero advierte de que el borrador actual podría imponer cargas regulatorias adicionales de miles de millones de euros. La organización pide una simplificación real del marco normativo y un enfoque proporcionado que no frene la inversión en 5G y fibra, clave para la competitividad digital del continente.
Desde la industria digital más amplia, la CCIA Europe valora positivamente el énfasis en criterios técnicos objetivos y en certificaciones basadas en evidencias, al tiempo que alerta sobre el riesgo de que el proceso legislativo derive en enmiendas proteccionistas. La asociación reclama claridad en la definición de “países de alto riesgo” y métricas objetivas que aporten previsibilidad a proveedores y clientes.
La propuesta de revisión del Cybersecurity Act abre ahora un intenso debate legislativo en el Parlamento Europeo y el Consejo.
Si (
No(
