La Comisión Europea ha puesto en marcha una de las reformas más ambiciosas de su arquitectura digital desde 2019. La propuesta de revisión de la Ley de Ciberseguridad (Cybersecurity Act, CSA) no solo actualiza una norma concebida para un contexto muy distinto, sino que introduce un cambio cualitativo en la forma en que la Unión Europea aborda la seguridad de sus tecnologías críticas. La pregunta que recorre el texto legislativo es clara, aunque no siempre explícita: hasta qué punto puede la UE seguir dependiendo de proveedores externos en un entorno de amenazas persistentes, híbridas y cada vez menos distinguibles entre lo técnico y lo geopolítico.
El paquete de ciberseguridad presentado por la Comisión llega en un momento de acumulación normativa. Convive con la Directiva NIS2, el Reglamento de Resiliencia Cibernética, el Cyber Solidarity Act y las iniciativas en preparación sobre redes digitales y nube. Sin embargo, la revisión de la CSA introduce un elemento que hasta ahora había quedado parcialmente resuelto mediante recomendaciones: la posibilidad de imponer medidas obligatorias de reducción de riesgos en las cadenas de suministro TIC, especialmente frente a proveedores de terceros países considerados de alto riesgo. El enfoque deja de ser meramente técnico y asume que la dependencia, la concentración de mercado o la capacidad de interferencia extranjera forman parte del problema.
De la certificación voluntaria al control estructural de la cadena de suministro
Uno de los pilares de la reforma es la creación de un marco horizontal de seguridad para las cadenas de suministro TIC que permita actuar de forma coordinada a escala europea. La propuesta habilita evaluaciones de riesgo conjuntas a nivel de la UE para identificar activos críticos, vulnerabilidades y proveedores problemáticos en sectores esenciales, desde energía y transporte hasta finanzas o sanidad. A partir de esas evaluaciones, la Comisión podrá definir medidas de mitigación proporcionadas, incluyendo la prohibición de utilizar componentes de determinados suministradores en activos clave, tras analizar el impacto económico y la disponibilidad de alternativas.
Este planteamiento bebe directamente de la experiencia del denominado 5G Toolbox, que recomendó a los Estados miembros limitar o excluir a proveedores como Huawei o ZTE de sus redes. La diferencia es sustancial: lo que hasta ahora era una caja de herramientas voluntaria pasa a convertirse en un mecanismo con capacidad normativa. La Comisión se reserva, además, la posibilidad de identificar países terceros que planteen riesgos estructurales para la seguridad de las cadenas TIC y, posteriormente, listar empresas de alto riesgo vinculadas a ellos.
El cambio no es menor para el mercado. La propia evaluación de impacto de la Comisión estima costes relevantes para los operadores de telecomunicaciones derivados de la sustitución de equipamiento, especialmente en redes móviles, aunque los contrapone con ahorros agregados derivados de la simplificación regulatoria y de una mayor coherencia entre marcos legales europeos .
Un marco de certificación que busca salir del bloqueo
La segunda gran línea de la reforma apunta al marco europeo de certificación de ciberseguridad, gestionado por ENISA. Desde su creación en 2019, este sistema ha avanzado con lentitud, con pocos esquemas operativos y debates prolongados, especialmente en ámbitos como la certificación de servicios cloud. La revisión de la CSA intenta desbloquear esa situación introduciendo plazos por defecto de 12 meses para el desarrollo de nuevos esquemas, procedimientos más ágiles y una gobernanza más transparente, con mayor participación de los actores del mercado.
La certificación seguirá siendo voluntaria, pero se refuerza su papel como herramienta práctica de cumplimiento normativo. Las empresas podrán utilizar certificados europeos para demostrar conformidad con distintas obligaciones legales, reduciendo duplicidades y costes administrativos. El alcance del sistema se amplía además a la certificación de la “postura de ciberseguridad” de las organizaciones, un concepto que permite evaluar de forma más holística su capacidad de gestión del riesgo.
Queda, no obstante, un punto en suspenso. La Comisión opta por centrar los esquemas en criterios técnicos, dejando fuera, por ahora, aspectos no técnicos vinculados a la soberanía digital, que se abordarán en futuras iniciativas sobre nube e inteligencia artificial. Esta separación refleja las tensiones internas entre ambición política y viabilidad operativa, especialmente en un mercado donde los grandes proveedores globales siguen concentrando la oferta.
Simplificación regulatoria con letra pequeña
La revisión de la CSA no llega sola. Se acompaña de modificaciones puntuales a la Directiva NIS2, con el objetivo declarado de reducir cargas administrativas y aportar mayor claridad jurídica. Según las cifras de la Comisión, unas 28.700 empresas se verían beneficiadas por estas simplificaciones, incluidas miles de pymes, y se crea una nueva categoría de “small mid-caps” para modular obligaciones.
Entre los cambios destacan la armonización de reglas de jurisdicción, la racionalización de la notificación de incidentes, en particular de ataques de ransomware, y el refuerzo del papel coordinador de ENISA en la supervisión de entidades transfronterizas. El enfoque busca evitar que la proliferación de normas sectoriales y horizontales termine generando un mosaico difícil de gestionar para las empresas que operan en varios Estados miembros.
ENISA, de agencia técnica a actor operativo
Desde 2019, ENISA ha ido acumulando funciones hasta convertirse en una pieza central del ecosistema europeo de ciberseguridad. La nueva CSA consolida ese papel y lo amplía. La agencia no solo seguirá gestionando la certificación y el análisis de amenazas, sino que podrá emitir alertas tempranas, coordinar respuestas a incidentes de ransomware junto con Europol y los CSIRT nacionales, y operar la ventanilla única europea para la notificación de incidentes prevista en el Digital Omnibus.
El refuerzo viene acompañado de un aumento significativo de recursos. La Comisión propone un incremento sustancial del presupuesto y de la plantilla de ENISA para asumir tareas operativas adicionales, desde la gestión de vulnerabilidades hasta el desarrollo de capacidades en criptografía poscuántica. También se le encomienda un papel destacado en la formación, con el despliegue de la Cybersecurity Skills Academy y esquemas europeos de acreditación de competencias.
Soberanía tecnológica, costes y realismo político
El discurso político que acompaña a la reforma es explícito. Para la Comisión, las amenazas cibernéticas ya no pueden tratarse como un problema técnico aislado, sino como un riesgo estratégico para la economía, la democracia y la seguridad europea. La noción de “soberanía tecnológica” aparece de forma recurrente, aunque matizada por referencias a evaluaciones de riesgo y análisis de impacto económico.
Sin embargo, el equilibrio no será sencillo. La exclusión de proveedores de alto riesgo plantea interrogantes sobre la capacidad del mercado europeo para ofrecer alternativas competitivas en todos los segmentos, así como sobre el impacto en costes y plazos de despliegue. También abre un terreno delicado en las relaciones comerciales y diplomáticas con terceros países, en un contexto de creciente fragmentación tecnológica global.
En ese punto emerge el primer contrapunto sectorial relevante. Connect Europe, la principal asociación de operadores de conectividad del continente, que representa en torno al 70 % de la inversión total del sector, ha acogido la propuesta con cautela. La organización reconoce que la seguridad de las redes de telecomunicaciones se ha convertido en un pilar estructural de la resiliencia europea y subraya el compromiso de los operadores con la aplicación de la Directiva NIS2 y otros marcos nacionales y comunitarios.
Sin embargo, advierte de un posible efecto adverso si el nuevo enfoque regulatorio no se ajusta con precisión. En un momento en el que los operadores afrontan fuertes exigencias de inversión para completar el despliegue de 5G y fibra, y en el que las condiciones regulatorias y la falta de escala limitan su capacidad financiera, Connect Europe alerta de que el borrador actual de la Ley de Ciberseguridad podría añadir una carga regulatoria adicional de miles de millones de euros, todavía insuficientemente cuantificada. A su juicio, las obligaciones sobre la cadena de suministro TIC podrían introducir restricciones que afecten a la planificación de redes, la continuidad operativa y las decisiones de inversión si no se basan en evaluaciones de riesgo sólidas, actualizadas y proporcionadas.
La asociación insiste además en la necesidad de evitar solapamientos entre NIS2, DORA, el Reglamento de Resiliencia Cibernética y otros marcos sectoriales, y reclama que la certificación europea sea relevante para el mercado y proporcional, para que los recursos destinados a la seguridad no queden absorbidos por el cumplimiento formal. El mensaje de fondo es que reforzar la ciberseguridad europea no debería traducirse en una nueva fricción para un sector que, según el propio diagnóstico comunitario, sigue siendo crítico para la competitividad y la autonomía digital del continente.
El calendario es exigente. Una vez aprobada por el Parlamento Europeo y el Consejo, la nueva CSA será de aplicación directa, mientras que los cambios en NIS2 deberán transponerse en un plazo de un año. Para las empresas, especialmente las que operan infraestructuras críticas o cadenas de suministro complejas, el tiempo para adaptarse será limitado. La incógnita no es solo cómo cumplir, sino cómo reconfigurar estrategias de aprovisionamiento y gestión del riesgo en un entorno regulatorio que ya no separa ciberseguridad y geopolítica.
