- La Comisión Europea lanza un plan de acción para abordar los riesgos y oportunidades de la IA en ciberseguridad, sin crear nueva legislación.
- El plan se estructura en tres pilares: promover el uso seguro de la IA, reforzar la ciberseguridad con IA y fortalecer el liderazgo tecnológico europeo.
- Se crearán capacidades europeas de evaluación de modelos, una plataforma de pruebas segura y un Gran Desafío para la remediación de vulnerabilidades.
- La inversión asciende a 200 millones de euros, con foco en talento, código abierto y soberanía digital.

La Comisión Europea ha dado un paso firme para adaptar la ciberseguridad del continente al imparable avance de la inteligencia artificial. El pasado 7 de julio, Bruselas presentó su Plan de Acción sobre Ciberseguridad e Inteligencia Artificial, una hoja de ruta que busca dar respuesta coordinada a los riesgos y oportunidades que plantean los modelos avanzados de IA para la seguridad digital. La vicepresidenta ejecutiva Henna Virkkunen lo resumió con claridad: el plan no viene acompañado de nueva legislación, sino que apuesta por hacer funcionar lo que ya existe, aprovechando el marco regulatorio existente como el AI Act, la directiva NIS2, el Reglamento de Ciberresiliencia y DORA.
El diagnóstico es compartido por todas las fuentes consultadas: la inteligencia artificial puede ayudar a detectar vulnerabilidades y prevenir ciberataques, pero también puede ser explotada para automatizar ofensivas a una velocidad y escala sin precedentes. El plan intenta abordar ambas caras de la moneda
, y lo hace a través de tres grandes líneas de trabajo que conectan la regulación con la operativa real. La fecha elegida no es casual: tres semanas antes de que el AI Act empiece a aplicarse en su totalidad, la Comisión quiere demostrar que Europa no solo escribe doctrina, sino que también ejecuta.
Un plan sin nuevas leyes pero con tres pilares
El primer pilar se centra en promover el uso seguro de la IA avanzada. La Comisión reforzará la capacidad europea para evaluar modelos antes de que se comercialicen, trabajando con ENISA para desarrollar un Blueprint europeo de acceso seguro a IA para ciberseguridad. Antes de que acabe 2026, se establecerá una plataforma de pruebas —los llamados cyber ranges— para que organizaciones de sectores críticos como energía, transporte, sanidad, finanzas y administración pública puedan testear soluciones de IA de forma controlada, sin exponer sistemas reales. Esta infraestructura permitirá evaluar modelos en entornos seguros, facilitando la experimentación en detección de amenazas, análisis de vulnerabilidades y respuesta a incidentes.
El segundo pilar busca usar la IA para reforzar la ciberseguridad existente. Se insta a los Estados miembros a acelerar la implementación de NIS2 y DORA, adoptar enfoques de confianza cero y utilizar herramientas de IA —incluidos modelos de código abierto— para detectar vulnerabilidades más rápidamente. La Comisión también propone modernizar la gestión de vulnerabilidades para responder al ritmo que impone la IA, y mejorar el intercambio de información sobre amenazas entre países. Una de las iniciativas más destacadas es la Campaña de Resiliencia para Software Crítico de Código Abierto, liderada por ENISA, que buscará acelerar la identificación y corrección de vulnerabilidades mediante IA, creando un catálogo europeo de servicios basados en IA para apoyar la remediación de fallos de seguridad. El primer piloto está previsto para finales de 2026.
El tercer pilar se centra en reforzar el liderazgo tecnológico europeo. Se lanzará el EU Grand Challenge on AI-assisted Vulnerability Remediation, un reto europeo que reunirá a empresas, universidades, operadores de infraestructuras críticas y comunidades de software libre para desarrollar herramientas capaces de asistir a los equipos de ciberseguridad durante todo el ciclo de corrección de vulnerabilidades. Además, se continuará impulsando las AI Factories y las futuras Gigafactories, junto con el acceso a infraestructura de computación soberana y mecanismos para atraer inversión privada destinada al desarrollo de modelos europeos de IA de frontera.
Inversión y talento para la soberanía digital
La Comisión ya destina 200 millones de euros a proyectos de investigación y desarrollo relacionados con IA y ciberseguridad a través de los programas Horizonte Europa y Europa Digital, además de nuevas inversiones del Fondo del Consejo Europeo de Innovación. El plan también aborda el fortalecimiento del talento: junto con los Estados miembros y la Academia Europea de Competencias en Ciberseguridad, se desarrollarán programas específicos para formar profesionales capaces de utilizar herramientas de IA en operaciones de ciberseguridad, mientras que ENISA actualizará el Marco Europeo de Competencias en Ciberseguridad para incorporar habilidades relacionadas con IA.
La autonomía estratégica es otro de los ejes. Virkkunen sostiene que Europa no debe depender en exclusiva de soluciones desarrolladas fuera de la Unión para tecnologías sensibles. El plan vincula la defensa cibernética con las AI Factories y las futuras gigafactorías
, reconociendo que sin modelos, datos e infraestructura propios, Europa seguirá siendo usuaria vulnerable de capacidades desarrolladas en terceros países. La Comisión admite que la IA de frontera exigirá cientos de miles de millones de euros y plantea una nueva capacidad europea de inversión en capital para movilizar financiación privada.
Para las organizaciones que ya trabajan en el cumplimiento de NIS2, DORA y el AI Act, el Plan de Acción no añade nuevas obligaciones, sino que clarifica cómo usar ese marco para hacer frente a amenazas que evolucionan más rápido que los ciclos legislativos. La clave está en la velocidad de ejecución
: la ciberseguridad es el terreno donde la velocidad lo es todo, y el adversario no espera a que terminen las convocatorias. El plan acierta al identificar la amenaza, apuntar a la autonomía y ordenar el trabajo pendiente, pero el éxito dependerá de traducir la doctrina en capacidad real al ritmo que impone quien ya está usando estas herramientas contra nosotros.


