La Unión Europea refuerza su escudo digital frente a las ciberamenazas

Europa se enfrenta a diario a ciberataques e iniciativas híbridas dirigidas contra servicios esenciales e instituciones democráticas, perpetradas tanto por actores estatales como por organizaciones delictivas altamente sofisticadas. Ante este escenario, la Comisión Europea ha presentado un nuevo paquete de ciberseguridad destinado a reforzar la resiliencia y las capacidades de la Unión Europea frente a amenazas cada vez más complejas.

El paquete incluye una revisión de la Ley de Ciberseguridad, orientada a mejorar la seguridad de las cadenas de suministro de las tecnologías de la información y la comunicación (TIC). Esta reforma garantiza que los productos que llegan a los ciudadanos europeos sean ciberseguros desde su diseño, gracias a procesos de certificación más claros y ágiles. Asimismo, facilita el cumplimiento de la normativa vigente y refuerza el papel de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) en el apoyo a los Estados miembros.

Uno de los ejes centrales del nuevo Reglamento de Ciberseguridad es la reducción de riesgos en la cadena de suministro de TIC, especialmente aquellos asociados a proveedores de terceros países considerados de alto riesgo. Para ello, se establece un marco armonizado, proporcionado y basado en el riesgo, que permitirá a la UE y a los Estados miembros identificar y mitigar amenazas en los dieciocho sectores críticos europeos, teniendo en cuenta también su impacto económico y la disponibilidad del mercado.

Los recientes incidentes han evidenciado que la seguridad de la cadena de suministro ya no depende solo de la solidez técnica de productos y servicios, sino también de factores como las dependencias estratégicas y la posible interferencia extranjera. En este contexto, el Reglamento permitirá reducir de forma obligatoria los riesgos en las redes europeas de telecomunicaciones móviles, apoyándose en el trabajo previo del conjunto de herramientas de seguridad 5G.

La Ley de Ciberseguridad revisada también moderniza el Marco Europeo de Certificación de la Ciberseguridad (ECCF). Este marco renovado simplificará los procedimientos, aportará mayor claridad y permitirá desarrollar regímenes de certificación en un plazo estándar de doce meses. Además, introducirá una gobernanza más transparente y participativa, reforzando la consulta pública y la implicación de las partes interesadas.

Los sistemas de certificación, gestionados por ENISA, se convertirán en una herramienta voluntaria y práctica para las empresas, ayudándolas a demostrar el cumplimiento de la legislación europea y a reducir costes administrativos. Más allá de productos y servicios TIC, las organizaciones podrán certificar su nivel de madurez en ciberseguridad, lo que reforzará la competitividad de las empresas europeas y aumentará la confianza de ciudadanos y autoridades públicas.

El paquete también simplifica el cumplimiento de las normas de ciberseguridad y los requisitos de gestión de riesgos para las empresas que operan en la UE. Las modificaciones a la Directiva NIS2 buscan aportar mayor claridad jurídica, facilitar la supervisión de entidades transfronterizas y optimizar la recopilación de datos sobre ataques de ransomware. Estas medidas beneficiarán a miles de empresas, incluidas microempresas, pymes y una nueva categoría de empresas de mediana capitalización, reduciendo de forma significativa los costes de cumplimiento.

ENISA ve reforzado su mandato como pilar del ecosistema europeo de ciberseguridad. La Agencia apoyará a la UE y a los Estados miembros en la identificación de amenazas comunes, la preparación ante incidentes y la respuesta coordinada a ciberataques. Emitirá alertas tempranas, colaborará con Europol y los equipos de respuesta a incidentes, y gestionará la ventanilla única para la notificación de incidentes propuesta en el Ómnibus Digital. Además, impulsará el desarrollo de capacidades mediante la futura Academia de Capacidades de Ciberseguridad y esquemas europeos de certificación de competencias.

El Reglamento de Ciberseguridad será aplicable inmediatamente tras su aprobación por el Parlamento Europeo y el Consejo. Las modificaciones a la Directiva NIS2 seguirán el procedimiento legislativo ordinario y, una vez adoptadas, los Estados miembros dispondrán de un año para su transposición al derecho nacional. Con este paquete, la UE da un paso decisivo para fortalecer su soberanía digital y proteger su economía y su ciudadanía en un entorno digital cada vez más hostil.