La Unión Europea ha dado un paso más en su estrategia digital con un paquete legislativo de ciberseguridad que pretende renovar de arriba abajo la normativa vigente. La propuesta, impulsada por la Comisión Europea, actualiza la Ley de Ciberseguridad para adaptarla a un escenario marcado por el aumento de ciberataques, las tensiones geopolíticas y la fuerte dependencia de proveedores tecnológicos externos.
En esta reforma, España y el resto de Estados miembros quedan directamente afectados, tanto por el refuerzo de las exigencias de seguridad en redes y servicios críticos como por las nuevas reglas sobre proveedores de alto riesgo, entre los que se señalan de forma reiterada a las compañías chinas Huawei y ZTE. La iniciativa llega en un momento delicado, con varios contratos públicos en el foco y un debate creciente sobre soberanía tecnológica.
[relacionado url=»https://foropc.com/tendencias-clave-de-ciberseguridad-que-marcaran-el-proximo-ciclo/»]
Un nuevo paquete europeo para reforzar la ciberseguridad
La Comisión Europea ha presentado un nuevo paquete de ciberseguridad cuyo núcleo es la revisión de la actual Ley de Ciberseguridad. El objetivo declarado es reforzar la resiliencia digital de la UE ante ciberataques y operaciones híbridas que afectan a servicios esenciales, infraestructuras críticas e instituciones democráticas. Bruselas subraya que estas amenazas ya no son meros fallos técnicos, sino riesgos estratégicos para la democracia, la economía y el estilo de vida europeo.
La propuesta, que aún debe ser negociada y aprobada por el Parlamento Europeo y el Consejo, establece que el nuevo marco será aplicable inmediatamente tras su adopción. A partir de ahí, los Estados miembros dispondrán de un año para incorporar la Directiva asociada a su ordenamiento jurídico nacional, lo que obliga a gobiernos y parlamentos a moverse relativamente rápido.
En paralelo, la Comisión sitúa esta reforma dentro de una estrategia más amplia que incluye otras piezas como el Cyber Resilience Act para productos digitales y nuevos mecanismos de cooperación en materia de alertas de seguridad. Todo ello busca configurar un marco regulatorio coherente que cubra tanto los productos y servicios TIC como la organización y respuesta a incidentes a escala europea.
La vicepresidenta ejecutiva responsable de Soberanía Tecnológica, Seguridad y Democracia, Henna Virkkunen, ha insistido en que la UE necesita “instrumentos robustos” para proteger sus infraestructuras críticas frente a una “guerra híbrida” en la que los ciberataques se han convertido en una herramienta habitual de presión.
Blindaje de las cadenas de suministro TIC y proveedores de alto riesgo
Uno de los pilares de la reforma es la seguridad de la cadena de suministro de las tecnologías de la información y la comunicación (TIC). La nueva Ley de Ciberseguridad establece un marco común de evaluación y mitigación de riesgos destinado a reducir la dependencia de proveedores de terceros países con preocupaciones de ciberseguridad, especialmente en los 18 sectores críticos definidos a nivel de la UE.
Este marco se basa en un enfoque armonizado, proporcionado y basado en el riesgo. En la práctica, se pretende que los Estados miembros evalúen de forma coordinada qué proveedores representan un peligro para la seguridad de infraestructuras críticas y que actúen de manera conjunta, evitando respuestas fragmentadas que dejen resquicios en el mercado interior.
La Comisión podrá designar a países terceros como preocupación de ciberseguridad si presentan riesgos estructurales graves que vayan más allá de lo puramente técnico. Para ello se tendrán en cuenta elementos como la existencia de leyes que obliguen a las empresas a colaborar con los servicios de inteligencia, la falta de garantías jurídicas efectivas, el historial de ciberataques atribuidos al país o su grado de cooperación con la UE en la mitigación de amenazas.
Un proveedor de alto riesgo será cualquier empresa establecida en uno de esos países, o controlada directa o indirectamente por ellos o por sus nacionales, incluso a través de intermediarios. La Comisión prevé elaborar un catálogo de proveedores problemáticos “sector por sector”, lo que permitirá adaptar las restricciones a las características de cada ámbito (telecomunicaciones, servicios digitales, energía, etc.).
La norma obligará a los Estados miembros a reducir la presencia de estos proveedores en redes y sistemas clave. Se fija un periodo de transición de tres años para que las redes móviles 5G dejen de depender de compañías catalogadas como de alto riesgo, con especial atención a los nodos más sensibles de las infraestructuras.
Redes de telecomunicaciones y foco en Huawei y ZTE
La parte más delicada de la reforma afecta a las redes de telecomunicaciones móviles y fijas, donde la Comisión quiere pasar de recomendaciones voluntarias a obligaciones jurídicas claras. El nuevo texto permitirá, e incluso exigirá, la eliminación obligatoria de riesgos en las redes europeas procedentes de proveedores considerados de alto riesgo, apoyándose en el trabajo previo del conjunto de herramientas de seguridad 5G.
Aunque la ley no cita expresamente una lista cerrada de empresas, en la práctica el debate gira en torno a Huawei y ZTE. Desde 2019, Bruselas viene advirtiendo de que ambas compañías representan “riesgos sustancialmente más elevados” que otros proveedores 5G. La propia Comisión se ha comprometido a evitar exponer sus comunicaciones internas a redes que dependan de estos suministradores.
En este contexto, la nueva normativa dificultará aún más la contratación de Huawei por parte de administraciones públicas europeas. La Comisión ha recordado a varios Estados miembros, entre ellos España, las implicaciones de seguir adjudicando contratos estratégicos a la multinacional china pese a las alertas comunitarias. Casos como la adjudicación por parte del Ministerio del Interior de un contrato para la gestión del almacenamiento de escuchas telefónicas judiciales con equipamiento de Huawei han generado polémica política y tensión con Bruselas.
España no es una excepción: la mayoría de los países de la UE tienen parte de sus redes 5G apoyadas en tecnología de Huawei, con la notable excepción de algunos socios del norte y del Báltico. Alemania, por ejemplo, ha anunciado su intención de retirar completamente la participación de Huawei de sus redes para 2029, un movimiento que marca la tendencia a medio plazo para el resto de la Unión.
La Comisión calcula que el coste económico de eliminar a los proveedores de alto riesgo de las redes móviles europeas se situará entre 3.000 y 4.000 millones de euros. Pese a ello, Bruselas considera que el impacto es asumible y justificado a la vista de los riesgos estratégicos que implican las dependencias tecnológicas en un entorno geopolítico cada vez más tenso.
Prohibiciones, excepciones y soberanía tecnológica
La nueva Ley de Ciberseguridad incorpora un régimen de prohibiciones específicas para los proveedores vinculados a países considerados de riesgo. Entre otras medidas, se limitará o vetará el uso de sus componentes en redes 5G, redes fijas, sistemas satelitales y otros elementos de infraestructuras críticas, así como su participación en la contratación pública y su acceso a fondos europeos.
No obstante, se abre la puerta a que las empresas afectadas puedan solicitar exenciones justificadas. Para acceder a ellas deberán demostrar, mediante pruebas verificables, que han implantado mecanismos de mitigación sólidos capaces de impedir interferencias indebidas del país de origen o de entidades vinculadas. La Comisión valorará caso por caso si la excepción solicitada no compromete los intereses de seguridad de la Unión antes de concederla.
Desde Bruselas, esta arquitectura se presenta como una forma de proteger la soberanía tecnológica europea. La preocupación no se limita a posibles vulnerabilidades técnicas, sino a la capacidad de determinados Estados para utilizar a “sus” empresas como palanca de presión o instrumento de espionaje e injerencia en las infraestructuras europeas.
En paralelo, la ley pretende dar herramientas comunes para que los gobiernos nacionales puedan actuar con mayor seguridad jurídica cuando decidan excluir a proveedores concretos de sectores estratégicos. La idea es evitar tanto lagunas normativas como acusaciones de arbitrariedad o proteccionismo injustificado, apoyando las decisiones en evaluaciones de riesgo basadas en criterios objetivos.
Esta línea encaja con la estrategia más amplia de la UE de reducir dependencias críticas de terceros países en ámbitos como los semiconductores, la nube o las infraestructuras de comunicaciones, y responde al temor de que estas dependencias puedan explotarse en escenarios de conflicto o tensión diplomática.
Un Marco Europeo de Certificación más rápido y claro
El segundo gran bloque de la reforma se centra en el Marco Europeo de Certificación de la Ciberseguridad (ECCF), al que se quiere dotar de mayor eficiencia y previsibilidad. La nueva ley fija como referencia que los esquemas de certificación se desarrollen en un máximo de 12 meses, frente a los plazos dilatados que ha conocido el sector hasta ahora.
El ECCF, gestionado por la Agencia de la Unión Europea para la Ciberseguridad (ENISA), se concibe como una herramienta práctica y voluntaria para empresas y organizaciones. La certificación permitirá a los proveedores demostrar de forma más sencilla que cumplen con los requisitos de ciberseguridad establecidos en la normativa europea, lo que debería reducir cargas administrativas y costes.
La revisión también refuerza la gobernanza del sistema de certificación, con el objetivo de que sea más ágil y transparente. Se prevé una participación más amplia de las partes interesadas mediante consultas e información públicas, de forma que fabricantes, operadores y otras entidades puedan aportar su experiencia práctica en el diseño de los esquemas.
Un cambio relevante es que el ámbito de la certificación ya no se limitará únicamente a productos y servicios TIC individuales. El nuevo enfoque abre la puerta a certificar la postura de ciberseguridad de organizaciones completas, algo que se interpreta como un posible activo competitivo para las empresas europeas de cara a clientes tanto públicos como privados.
La Comisión defiende que una certificación más sencilla, transparente y rápida permitirá que los productos y servicios que lleguen al mercado europeo sean “seguros por diseño”, sin que ello suponga un freno desproporcionado a la innovación o a la competitividad de la industria digital.
Simplificación normativa y ajustes a NIS2
Otro de los objetivos del paquete legislativo es facilitar el cumplimiento de las obligaciones de ciberseguridad por parte de las empresas, en especial de aquellas que tienen menos recursos para gestionar marcos regulatorios complejos. Para ello, la Comisión propone modificaciones puntuales de la Directiva NIS2 que buscan aportar mayor claridad jurídica y reducir solapamientos.
Estas modificaciones están diseñadas para beneficiar a unas 28.700 empresas en toda la Unión, incluidas miles de pymes y microempresas. Entre otras cuestiones, se simplificarán las normas jurisdiccionales, se agilizará la recopilación de datos sobre ataques de ransomware y se reforzará la supervisión de las entidades transfronterizas a través de un papel de coordinación reforzado para ENISA.
Además, se introduce una nueva categoría de “pequeñas empresas de mediana capitalización”, pensada para compañías que no encajan del todo en la definición clásica de pyme pero que tampoco cuentan con los recursos de las grandes corporaciones. Esta categoría permitirá ajustar las exigencias de gestión de riesgos a la capacidad real de las organizaciones, con la idea de evitar que la normativa acabe asfixiando a actores esenciales del tejido productivo.
El paquete incluye también medidas para simplificar la notificación de incidentes, complementando el sistema de ventanilla única propuesto en la denominada Directiva Ómnibus Digital. Se trata de reducir la burocracia asociada al reporte de brechas de seguridad y de mejorar la coordinación en la respuesta a incidentes transfronterizos.
En el trasfondo de estos cambios está el debate sobre cómo reforzar la seguridad sin ahogar a las empresas. Las principales asociaciones del sector tecnológico y de telecomunicaciones europeas han valorado positivamente el impulso a la ciberseguridad, pero advierten de que los nuevos requisitos pueden generar costes significativos y reclaman una simplificación regulatoria real.
ENISA gana peso: alertas, vulnerabilidades y talento
La revisión de la ley también refuerza de forma notable el papel de la Agencia Europea de Ciberseguridad (ENISA) como pieza central del ecosistema europeo. La agencia verá ampliadas sus competencias para apoyar a los Estados miembros en la anticipación, preparación y respuesta ante incidentes de ciberseguridad.
Entre sus nuevas funciones destaca la capacidad de emitir alertas tempranas sobre amenazas e incidentes, coordinar la respuesta frente a ciberataques complejos —incluidos los de tipo ransomware— y cooperar de manera más estrecha con Europol y los equipos nacionales de respuesta a incidentes (CSIRT). Esta cooperación será clave para gestionar ataques que afecten simultáneamente a varios países.
ENISA asumirá además la gestión del punto de entrada único para la notificación de incidentes previsto en el paquete Ómnibus Digital, lo que concentrará en una sola ventanilla el flujo de información sobre brechas de seguridad significativas a nivel europeo.
Otra de las prioridades de la agencia será desarrollar un enfoque común para los servicios de gestión de vulnerabilidades, ayudando a las organizaciones a identificar, reportar y corregir fallos de seguridad en sus sistemas y productos. Esta función se considera clave para acortar los tiempos entre el descubrimiento de una vulnerabilidad y su resolución efectiva.
Por último, la Comisión quiere que ENISA impulse una Academia Europea de Capacidades en Ciberseguridad y esquemas de certificación de competencias profesionales. El objetivo es aliviar uno de los grandes cuellos de botella del sector: la escasez de personal cualificado. Se busca así construir, a medio plazo, una fuerza laboral capaz de hacer frente al volumen y la sofisticación crecientes de las amenazas.
Reacciones del sector y posición española
El anuncio de la reforma ha provocado reacciones diversas entre los operadores de telecomunicaciones y la industria tecnológica. Organizaciones como la GSMA han expresado su apoyo a los objetivos de seguridad, pero recuerdan que las nuevas obligaciones pueden implicar miles de millones de euros en costes adicionales, lo que podría reducir la capacidad de invertir en el despliegue de redes 5G y fibra.
Asociaciones de operadores europeos como Connect Europe insisten en que las medidas deben estar estrictamente basadas en el riesgo y ser operativamente viables, evitando cargas administrativas que ralenticen la expansión de infraestructuras digitales clave para la competitividad. Piden, además, una simplificación real del marco regulatorio para no multiplicar normas que se solapan.
Desde el ámbito de la economía digital, entidades como Adigital en España subrayan que el reglamento debe funcionar como un instrumento técnico y no político, basado en procesos de certificación transparentes, coherentes y respaldados por evidencias. Reclaman también que se dote a ENISA de los recursos necesarios para poner en marcha el nuevo marco de certificación en plazos razonables.
En España, el debate se ve condicionado por la importante presencia de Huawei en distintos contratos públicos y redes, desde la participación en el Centro de Operaciones de Seguridad 5G a adjudicaciones autonómicas como la red de fibra óptica para servicios públicos en Cataluña. Algunas licitaciones recientes, como la relativa a la red académica y científica RedIRIS, han sido corregidas o replanteadas tras las advertencias de Bruselas sobre el uso de equipamiento de proveedores de alto riesgo.
En el plano político, los grupos del Parlamento Europeo han avanzado que la negociación será intensa. Parte de los eurodiputados reclama garantías para que ENISA coordine sin vaciar las competencias nacionales, así como salvaguardias para evitar duplicidades regulatorias que puedan “ahogar” a las empresas y que el proceso derive en un proteccionismo encubierto alejado de criterios técnicos.
Al cierre de esta fase inicial, la nueva ley se perfila como una pieza clave para redefinir la ciberseguridad en la UE: endurece el control sobre proveedores externos, acelera y ordena la certificación de productos y servicios, refuerza el papel de ENISA y ajusta el marco normativo para hacerlo más claro y manejable para las empresas, en especial en países como España, donde el peso de ciertos suministradores de alto riesgo y la densidad regulatoria convierten la transición en un reto complejo pero difícilmente aplazable.