La Comisión Europea ha presentado un paquete reforzado de medidas de ciberseguridad con el objetivo de blindar la Unión ante amenazas digitales cada vez más sofisticadas y persistentes.
La propuesta responde al aumento de los ciberataques registrados en los últimos años dirigidos a servicios esenciales, infraestructuras críticas e incluso a instituciones democráticas. Trata así de reforzar la seguridad de empresas y ciudadanos, aportar una mayor claridad normativa y de extremar la preparación frente a los nuevos desafíos del mundo digital.
Incluye una propuesta de revisión del Reglamento sobre la Ciberseguridad que mejora la seguridad de las cadenas de suministro de las tecnologías de la información y la comunicación (TIC) de la UE, y garantiza la ciberseguridad en el diseño de los productos que llegan a los ciudadanos de la UE, a través de un proceso de certificación más sencillo. También facilita el cumplimiento de las normas vigentes de la UE en materia de ciberseguridad y refuerza la Agencia de la Unión Europea para la Ciberseguridad (ENISA), a la hora de apoyar a los Estados miembros ya la Unión en la gestión de las amenazas a la ciberseguridad.
Puntos clave
1. Revisión de la Ley de Ciberseguridad
El núcleo de la iniciativa es una revisión ambiciosa de la Ley de Ciberseguridad Act:
- Mayor seguridad en las cadenas de suministro de tecnologías de la información y comunicación (TIC): creación de un marco armonizado basado en evaluación de riesgos, que permitirá identificar y mitigar vulnerabilidades en los productos y servicios que llegan al mercado europeo.
- Certificación más simple y ágil: moderniza el Marco Europeo de Certificación de la Ciberseguridad (ECCF) para hacer más eficiente y claro el proceso de certificación de productos y servicios digitales. Con este objetivo, introduce procedimientos más simples y plazos estándar de 12 meses para desarrollar nuevos esquemas de certificación, junto con una gobernanza más ágil y transparente que refuerza la participación pública. Los esquemas, gestionados por ENISA, serán herramientas voluntarias que ayudarán a las empresas a demostrar el cumplimiento de la normativa europea, reduciendo costes y cargas administrativas. Además de productos cubrir, servicios y procesos TIC —incluidos servicios de seguridad gestionados—, el nuevo marco permitirá a las organizaciones certificar su nivel global de ciberseguridad, respondiendo mejor a las demandas del mercado. En conjunto, el ECCF renovado busca reforzar la competitividad de las empresas europeas y garantizar un alto nivel de seguridad y confianza para ciudadanos, empresas y administraciones públicas en las cadenas de suministro digitales.
2. Fortalecimiento de ENISA
La Agencia de Ciberseguridad de la UE (ENISA) tendrá un papel reforzado para ayudar tanto a Estados miembros como a organizaciones privadas en la gestión de amenazas, emisión de alertas tempranas y coordinación frente a incidentes complejos.
3. Simplificación del cumplimiento y menor carga para las empresas
- Propone enmiendas a la Directiva NIS2, con el objetivo de hacer que la ley sea más clara y accesible para millas de empresas, incluidas muchas pequeñas y medianas.
- Se contempla una definición más clara de obligaciones y requisitos, así como una reducción de costes administrativos sin sacrificar niveles de protección.
- Las modificaciones simplificarán las normas jurisdiccionales, agilizarán la recopilación de datos sobre ataques de ransomware y facilitarán la supervisión de las entidades transfronterizas gracias al papel de coordinación reforzado de ENISA.
4. Respuesta a amenazas geopolíticas y económicas
El enfoque de la UE no se limita a ataques criminales, sino que incorpora también amenazas híbridas o vinculadas a actores estatales. Esto refleja la percepción actual de que la ciberseguridad es una cuestión estratégica no solo técnica.
La propuesta aún debe ser aprobada por el Parlamento Europeo y el Consejo de la UE, y una vez adoptada, los Estados miembros tendrán plazos para trasponerla a sus legislaciones nacionales.
