Durante años, la ciberseguridad de las infraestructuras críticas europeas ha avanzado de forma fragmentada. Cada Estado miembro ha desarrollado marcos propios de evaluación, esquemas de certificación y metodologías de supervisión, a menudo condicionados por su estructura industrial, su cultura regulatoria o su percepción del riesgo.
Ese enfoque, suficiente en un contexto más analógico, empieza a mostrar límites en un entorno donde la energía, el transporte, las telecomunicaciones o la sanidad dependen de sistemas digitales interconectados y, cada vez más, transfronterizos.
La Unión Europea ha empezado a responder a esta tensión con un cambio de escala. El objetivo ya no es solo elevar el nivel medio de protección, sino construir mecanismos comunes que permitan evaluar, comparar y certificar la ciberseguridad de los operadores críticos bajo criterios compartidos. En ese movimiento se inscribe el impulso reciente a infraestructuras europeas de prueba y validación, alineadas tanto con la directiva NIS2 como con el nuevo marco regulatorio sobre inteligencia artificial.
Uno de los ejemplos más recientes es la adjudicación del proyecto CIPHER, promovido desde el Centro Europeo de Competencia en Ciberseguridad (ECCC), que ilustra con claridad hacia dónde se está desplazando el modelo europeo.
De la coordinación política a la infraestructura operativa
El ECCC, con sede en Bucarest, nació para cubrir un vacío concreto: coordinar inversiones, capacidades industriales y conocimiento en ciberseguridad a escala europea. No actúa como regulador en sentido estricto ni como autoridad sancionadora. Su función es más estructural. Articula una red de centros nacionales de coordinación, conecta industria, investigación y administraciones, y canaliza fondos europeos hacia proyectos que refuercen capacidades reales, no solo marcos normativos.
En los últimos años, su foco ha ido desplazándose desde la financiación de iniciativas de I+D hacia el despliegue de infraestructuras compartidas. Plataformas de prueba, entornos de validación y mecanismos de certificación interoperables empiezan a ocupar el centro de su agenda. La lógica es clara: sin herramientas comunes para evaluar riesgos y verificar niveles de seguridad, la armonización normativa queda incompleta.
Este giro conecta directamente con el espíritu de la Directiva NIS2, que amplía el perímetro de operadores obligados, endurece los requisitos de gestión del riesgo y refuerza la responsabilidad de la alta dirección. NIS2 no prescribe tecnologías concretas, pero sí exige demostrar que las medidas de seguridad existen, funcionan y se revisan de forma continua. Para muchos operadores, esa demostración se ha convertido en un problema práctico.
La evaluación como problema estructural
Evaluar la ciberseguridad de una infraestructura crítica no es trivial. Los sistemas combinan tecnologías heredadas, software de terceros, redes de comunicaciones heterogéneas y, cada vez más, componentes basados en inteligencia artificial. A ello se suma que muchas amenazas no se manifiestan como fallos evidentes, sino como degradaciones progresivas o vulnerabilidades latentes.
Hasta ahora, la evaluación se ha basado en auditorías puntuales, pruebas de penetración aisladas o certificaciones nacionales con escasa comparabilidad entre países. El resultado es una visión parcial, difícil de escalar y poco alineada con un mercado interior digital.
Los nuevos proyectos impulsados desde el ECCC buscan cambiar esa lógica. La idea no es centralizar el control, sino crear infraestructuras comunes que permitan a los operadores someter sus sistemas a pruebas continuas, bajo metodologías estandarizadas y con resultados comparables. Esa infraestructura actúa como un punto de referencia compartido para reguladores, empresas y certificadores.
CIPHER como laboratorio europeo
En ese contexto se sitúa CIPHER (Cybersecurity Intelligence, Protection and Holistic Enterprise Resilience), un consorcio europeo que desarrollará una plataforma colaborativa de evaluación y certificación de ciberseguridad para operadores de servicios esenciales. El proyecto reúne a organizaciones de siete países y combina perfiles industriales, centros de investigación y pymes especializadas.
Más allá de sus componentes técnicos, el interés de CIPHER reside en su función sistémica. La plataforma está pensada para evaluar de forma continua la postura de ciberseguridad de infraestructuras críticas, integrando análisis de vulnerabilidades, pruebas de ataque simuladas y contextualización del riesgo en tiempo casi real. No se trata solo de detectar fallos, sino de generar evidencias reutilizables en procesos de certificación y supervisión.
Entre los participantes figura Eviden, que aporta experiencia en sistemas de misión crítica y entornos complejos, pero el protagonismo del proyecto no recae en un proveedor concreto. El valor está en la construcción de una infraestructura común que otros actores podrán utilizar, adaptar o integrar en sus propios procesos de cumplimiento.
Eviden participará en el desarrollo e integración de la plataforma CIPHER, que consta de dos componentes principales:
- Un mecanismo automatizado de evaluación de vulnerabilidades para identificar de forma continua vulnerabilidades en sistemas, aplicaciones y componentes. Se basará en escaneos activos y pasivos para detectar vulnerabilidades conocidas, configuraciones incorrectas y puntos de exposición. La evaluación se enriquecerá con datos de inteligencia de amenazas y herramientas de gestión del riesgo para su contextualización en tiempo real. En el caso de las redes de radio, el sistema permitirá evaluar la ciberseguridad de las interfaces inalámbricas, complementando el análisis realizado por agentes de IA. Las vulnerabilidades se clasificarán y priorizarán automáticamente según su gravedad, integrándose en un sistema de clasificación impulsado por IA.
- Un marco automatizado de pruebas de penetración para generar pruebas de seguridad continuas y escalables que simulen escenarios de ataque reales contra activos críticos. Este marco incluirá la selección, adaptación y orquestación de herramientas de pentesting de código abierto y personalizadas. También implementará escenarios de ataque y será capaz de simular diferentes clases de amenazas (redes, aplicaciones, radio, etc.). Los resultados de las pruebas alimentarán el motor de evaluación de riesgos de la plataforma CIPHER y los sistemas de recomendación basados en IA, con el fin de perfeccionar las estrategias de mitigación de riesgos, enriquecer y contextualizar los aprendizajes, y mejorar los resultados y los informes.
NIS2, demostrabilidad y gobernanza
Uno de los cambios menos visibles pero más relevantes de NIS2 es el énfasis en la gobernanza. La directiva obliga a los operadores a adoptar medidas técnicas y organizativas proporcionales al riesgo, pero también a poder demostrarlo ante la autoridad competente. Esto introduce una necesidad nueva: evidencias continuas, trazables y auditables.
Las plataformas de evaluación compartidas responden a esa necesidad. Permiten transformar la ciberseguridad en un proceso medible, no en una declaración de intenciones. Para los consejos de administración y los responsables tecnológicos, esto tiene implicaciones directas. La conversación deja de centrarse solo en inversiones y pasa a incorporar métricas, escenarios de riesgo y comparativas sectoriales.
Además, al operar bajo criterios europeos comunes, estas infraestructuras reducen la asimetría entre países. Un operador energético o de transporte puede enfrentarse a exigencias regulatorias similares independientemente de su ubicación, lo que facilita la planificación y reduce costes de cumplimiento a largo plazo.
La capa de inteligencia artificial y el AI Act
La incorporación de inteligencia artificial a los sistemas de ciberseguridad añade otra capa de complejidad. Algoritmos que priorizan vulnerabilidades, automatizan respuestas o simulan ataques introducen beneficios claros, pero también riesgos asociados a la opacidad, el sesgo o el uso indebido de datos.
Aquí entra en juego el Reglamento de Inteligencia Artificial, que establece obligaciones específicas para los sistemas de alto riesgo. Las plataformas europeas de evaluación deben diseñarse desde el inicio para cumplir estos requisitos, incorporando principios de transparencia, supervisión humana y protección de datos.
En proyectos como CIPHER, la IA no se plantea como un elemento autónomo, sino como un componente integrado en un marco regulado. Esto anticipa una tendencia más amplia: la certificación de ciberseguridad y la conformidad con el AI Act acabarán convergiendo en muchos sectores críticos. Evaluar un sistema sin analizar el comportamiento de sus componentes algorítmicos será, previsiblemente, insuficiente.
Por qué importa para las empresas
Para las empresas que operan o dan servicio a infraestructuras críticas, este cambio de enfoque tiene implicaciones estratégicas. La ciberseguridad deja de ser un asunto puramente defensivo para convertirse en un factor de acceso al mercado. Poder demostrar niveles de seguridad certificados bajo esquemas europeos comunes será, en muchos casos, un requisito para operar, licitar o integrarse en cadenas de suministro críticas.
Al mismo tiempo, la existencia de infraestructuras compartidas reduce la dependencia de soluciones ad hoc y facilita una gestión más racional del riesgo. No elimina la responsabilidad individual, pero ofrece un marco común que permite comparar, aprender y mejorar de forma coordinada.
Una arquitectura aún en construcción
Pese a los avances, el modelo está lejos de cerrarse. Quedan preguntas abiertas sobre la interoperabilidad entre plataformas, el reconocimiento mutuo de certificaciones o el papel que jugarán las autoridades nacionales en este nuevo ecosistema. También sobre cómo se equilibrará la soberanía digital con la apertura a proveedores globales.
Lo que parece claro es la dirección. Europa está pasando de una ciberseguridad basada en normas y auditorías puntuales a otra apoyada en infraestructuras comunes de evaluación continua. Proyectos como CIPHER no son un fin en sí mismos, sino piezas de una arquitectura más amplia que busca convertir la resiliencia digital en un activo verificable y compartido.
