La Comisión Europea ha dado un paso decisivo en su estrategia de defensa digital con la publicación de la propuesta para una nueva Ley de Ciberseguridad de la UE (EU Cybersecurity Act). Bajo la referencia oficial COM(2026) 11, este nuevo paquete legislativo busca actualizar y sustituir el marco vigente para responder a un panorama de amenazas cada vez más sofisticado y, sobre todo, para poner fin a la fragmentación regulatoria que amenaza el Mercado Único Digital.
La iniciativa llega en un momento crítico para el sector tecnológico y las telecomunicaciones, donde la seguridad de la cadena de suministro se ha convertido en la prioridad número uno tanto para los Estados miembros como para la industria.
Según el texto de la propuesta analizado, el pilar central de esta revisión es la resiliencia de las cadenas de suministro de Tecnologías de la Información y la Comunicación (TIC). La Comisión ha detectado que las vulnerabilidades en productos de terceros (software y hardware) son el vector de ataque más común, por lo que la nueva regulación exigirá que los productos que lleguen a los ciudadanos europeos sean “ciberseguros por diseño” (cyber-secure by design).
Esto implica un cambio de paradigma: la seguridad deja de ser una característica añadida para convertirse en un requisito de mercado ineludible desde la fase de desarrollo.
Uno de los puntos más demandados por la industria tecnológica, y que esta propuesta aborda directamente, es la complejidad de los procesos de certificación. Hasta ahora, la disparidad de esquemas nacionales obligaba a las empresas a certificar sus productos en múltiples países, encareciendo el despliegue de tecnología en Europa.
La nueva Cybersecurity Act propone un proceso de certificación más simple y armonizado. El objetivo es doble:
La Agencia de la Unión Europea para la Ciberseguridad (ENISA) verá reforzado su mandato de manera significativa, ya que el texto legislativo propone dotar a la agencia de mayores capacidades para apoyar a los Estados miembros no solo en la prevención, sino en la gestión activa de amenazas. ENISA pasará a tener un rol central en la supervisión de los nuevos esquemas de certificación y en la coordinación de respuestas ante incidentes que afecten a múltiples países, actuando como el nodo central de la ciber-resiliencia europea.
Junto a la propuesta principal, la Comisión ha liberado tres documentos clave que sustentan la necesidad de esta reforma:
Con la publicación de los documentos, la pelota pasa al tejado del Parlamento Europeo y del Consejo, donde se espera un debate intenso a lo largo de los próximos meses; especialmente en torno a los plazos de implementación y las exigencias técnicas para las pymes, antes de que la CSA2 se convierta en ley vinculante.