La Unión Europea trabaja para actualizar su Reglamento de Ciberseguridad, una norma clave para proteger a gobiernos, empresas y ciudadanos frente a ataques informáticos. El objetivo de la consulta es adaptar la ley a un contexto donde las amenazas digitales son cada vez más frecuentes y complejas y para ello ha abierto una consulta pública en la que cualquier persona, empresa u organización puede dar su opinión hasta el próximo 20 de junio.
Uno de los focos de la revisión es el papel de ENISA, la Agencia de Ciberseguridad de la UE, que podría recibir más competencias para actuar mejor ante incidentes graves; pero también se está revisando el sistema europeo de certificación en ciberseguridad, que sirve para garantizar qué productos y servicios cumplen ciertos estándares. Lo que hasta ahora era voluntario, Bruselas se plantea hacerlo obligatorio en sectores críticos como la banca, la energía o las telecomunicaciones.
En este contexto, uno de los temas que más debate genera es la futura certificación europea para servicios en la nube (como los que ofrecen Amazon, Microsoft o Google), que podría incluir requisitos sobre la ubicación de los datos o el control europeo de las entidades proveedoras; medida que forma parte del interés de la UE por reforzar su soberanía digital.
Además, se quiere simplificar la norma actual para evitar duplicidades y reducir la burocracia, especialmente en lo que se refiere a la notificación de incidentes de seguridad, algo que hoy está regulado por diferentes leyes.
La UE opta por imponer condiciones de soberanía digital más estrictas, como exigir que los datos se almacenen en Europa o que los proveedores estén controlados por empresas comunitarias, las compañías españolas o europeas saldrían favorecidas frente a gigantes tecnológicos extranjeros.
En España, esta reforma puede tener un impacto directo en varios frentes. Por un lado, muchas empresas —especialmente pymes tecnológicas, proveedores de servicios cloud y compañías del sector financiero— podrían verse obligadas a obtener certificaciones europeas más exigentes para operar en ciertos mercados; lo cual implicaría invertir en seguridad, pero también ganar confianza frente a los clientes.
Por otro, la administración pública, que ya está sujeta a normativas como el Esquema Nacional de Seguridad, podría tener que adaptarse a nuevos requisitos europeos comunes, lo que ayudaría a armonizar y fortalecer los estándares en todo el territorio.
Así mismo, si la UE opta por imponer condiciones de soberanía digital más estrictas, como exigir que los datos se almacenen en Europa o que los proveedores estén controlados por empresas comunitarias, las compañías españolas o europeas saldrían favorecidas frente a gigantes tecnológicos extranjeros.
Esta revisión llega en un momento en el que España avanza en su Estrategia Nacional de Ciberseguridad y presiona para reforzar las capacidades del Centro Criptológico Nacional (CCN) y el Instituto Nacional de Ciberseguridad (INCIBE), los cuales ya juegan un papel clave en la protección digital del país.
La propuesta definitiva de Bruselas se espera para finales de 2025, pero las decisiones que se tomen ahora pueden marcar el rumbo de la ciberseguridad europea —y española— en la próxima década.