Ciberseguridad de la UE: estrategia y políticas clave

Estrategia de Ciberseguridad de la UE

En octubre de 2020, los dirigentes de la UE pidieron a los Estados miembros que:

• protegiesen a la UE frente a las ciberamenazas;
• proporcionasen un entorno de comunicación seguro, en particular mediante la encriptación cuántica;
• garantizasen el acceso a los datos a efectos judiciales y policiales.

Esto se debe a que una respuesta más firme en materia de ciberseguridad que permita crear un ciberespacio abierto y seguro podrá generar entre la ciudadanía una mayor confianza en las herramientas y servicios digitales. La ciberseguridad protege las redes y los sistemas de información, a los usuarios de dichos sistemas y a otras personas afectadas por las ciberamenazas.

• Reunión extraordinaria del Consejo Europeo, 1-2.10.2020

En diciembre de 2020, la Comisión Europea y el Servicio Europeo de Acción Exterior (SEAE) presentaron una nueva Estrategia de Ciberseguridad de la UE. El objetivo es reforzar la resiliencia de Europa frente a las ciberamenazas y garantizar que toda la ciudadanía y las empresas se beneficien plenamente de servicios y herramientas digitales seguros y fiables.

• Estrategia de Ciberseguridad de la UE (Servicio Europeo de Acción Exterior)

El 22 de marzo de 2021, el Consejo adoptó unas Conclusiones sobre la Estrategia de Ciberseguridad en las que destacó que la ciberseguridad es esencial para construir una Europa resiliente, ecológica y digital. Los ministros de la UE fijaron como objetivo clave lograr la autonomía estratégica preservando al mismo tiempo una economía abierta, y esto incluye mejorar la capacidad de adoptar decisiones autónomas en el ámbito de la ciberseguridad, al tiempo que se refuerza el liderazgo digital y las capacidades estratégicas de la UE.

• El Consejo adopta unas Conclusiones sobre la Estrategia de Ciberseguridad de la UE (comunicado de prensa, 22.3.2021)

Políticas clave de ciberseguridad de la UE

Plan Director de Ciberseguridad

El Consejo adoptó un Plan Director de la UE para la Gestión de Crisis de Ciberseguridad el 6 de junio de 2025.

El plan proporciona un marco completo y detallado para la gestión de crisis de ciberseguridad a escala de la UE, sobre la base del Plan Director de Ciberseguridad de 2017.

El plan tiene por objeto:

• asegurar una respuesta eficaz y efectiva a incidentes de ciberseguridad;
• fomentar una cooperación más estructurada entre los agentes civiles y militares;
• explicar qué es una crisis de ciberseguridad y qué activa un mecanismo de crisis.

• La UE adopta un plan director para gestionar mejor las crisis e incidentes de ciberseguridad europeos (comunicado de prensa, 6.6.2025)

Reglamento de Cibersolidaridad de la UE

El 2 de diciembre de 2024, el Consejo adoptó el Reglamento de Cibersolidaridad, que prevé los mecanismos de que se debe disponer a escala de la UE para mejorar la resiliencia y la capacidad de reacción de Europa en caso de recibir ciberamenazas, al tiempo que refuerza los mecanismos de cooperación.

Las nuevas normas:

• establecen un Sistema de Alerta de Ciberseguridad, una infraestructura paneuropea formada por centros de ciberseguridad nacionales y transfronterizos encargados de apoyar la detección de amenazas e incidentes de ciberseguridad;
• disponen la creación de un mecanismo de emergencia de ciberseguridad para dar un impulso a la preparación y proteger las entidades críticas y los servicios esenciales, como los hospitales y los servicios públicos;
• refuerzan la solidaridad a escala de la UE, la gestión concertada de las crisis y las capacidades de respuesta en todos los Estados miembros; y
• contribuyen a garantizar un entorno digital seguro y protegido para los ciudadanos y las empresas.

El Reglamento de Cibersolidaridad entró en vigor el 4 de febrero de 2025.

• Paquete de ciberseguridad: el Consejo adopta nuevas normas para reforzar las capacidades de ciberseguridad en la UE (comunicado de prensa, 2.12.2024)

Reglamento sobre la Ciberseguridad de la UE

El Reglamento sobre la Ciberseguridad de la UE, adoptado por el Consejo en abril de 2019, introdujo:

• un esquema de certificación para toda la UE,
• un mandato permanente y reforzado de la Agencia de la UE para la Ciberseguridad (ENISA).

Esquemas europeos de certificación

En el pasado, los países de la UE utilizaban distintos esquemas de certificación en materia de ciberseguridad para productos de tecnologías de la información y de la comunicación, lo que daba lugar a la fragmentación del mercado y a obstáculos normativos. Gracias al Reglamento sobre la Ciberseguridad, la UE implantó un marco único de certificación a escala de la UE que tiene por objeto:

• generar confianza,
• aumentar el crecimiento del mercado de la ciberseguridad,
• facilitar el comercio en toda la UE.

El marco proporciona un conjunto completo de reglas, requisitos técnicos, normas y procedimientos.

En diciembre de 2024, la UE adoptó una modificación específica del Reglamento sobre la Ciberseguridad para permitir la creación de esquemas europeos de la UE para «servicios de seguridad gestionados», como la gestión de incidentes, las pruebas de penetración, las auditorías de seguridad y la consultoría relacionada con la asistencia técnica.

Agencia de la Unión Europea para la Ciberseguridad

La Agencia de la UE para la Ciberseguridad (ENISA), con sede en Atenas (Grecia) tiene el mandato de lograr un elevado nivel de ciberseguridad común en toda la UE. Presta apoyo a los Estados miembros, las instituciones de la UE y otras partes interesadas para mejorar la ciberseguridad y hacer frente a los ciberataques.

ENISA fue creada en 2004 y reforzada mediante el Reglamento sobre la Ciberseguridad de la UE, que le otorgó un mandato permanente, más recursos y unas funciones ampliadas.

En diciembre de 2024, el Consejo aprobó unas Conclusiones en las que se detallaban una serie de recomendaciones y sugerencias para fortalecer la Agencia de la UE para la Ciberseguridad.

• Paquete de ciberseguridad: el Consejo adopta nuevas normas para reforzar las capacidades de ciberseguridad en la UE (comunicado de prensa, 2.12.2024)
• ENISA: el Consejo adopta unas Conclusiones para reforzar la Agencia de la UE para la Ciberseguridad (comunicado de prensa, 6.12.2024)
• Agencia de la Unión Europea para la Ciberseguridad (ENISA)

Reglamento de Ciberresiliencia de la UE

El Reglamento de Ciberresiliencia, adoptado por el Consejo el 10 de octubre de 2024, establece requisitos de ciberseguridad para productos con elementos digitales conectados a internet o a otros dispositivos, para así garantizar que productos conectados —como cámaras domésticas, neveras, televisores y juguetes— sean seguros antes de su introducción en el mercado y durante su ciclo de vida.

El Reglamento mejora asimismo la transparencia para los consumidores, lo que permite a la ciudadanía acceder a información sobre la ciberseguridad de los productos que compran y utilizan.

• Reglamento de Ciberresiliencia: el Consejo adopta una nueva normativa sobre los requisitos de seguridad para los productos digitales

Directiva sobre las redes y sistemas de información

La Directiva sobre la Seguridad de las Redes y Sistemas de Información (SRI) fue el primer acto legislativo a escala de la UE destinado a estrechar la cooperación entre los Estados miembros en lo relativo a la ciberseguridad. En este acto, adoptado en 2016, se establecieron obligaciones de seguridad para los operadores de servicios esenciales (en sectores vitales como la energía, el transporte, la sanidad y las finanzas) y los proveedores de servicios digitales (mercados en línea, motores de búsqueda y servicios en la nube).

En 2022, la UE adoptó una revisión de la Directiva SRI (SRI 2) para sustituir a la Directiva de 2016. Las nuevas normas garantizan un elevado nivel común de ciberseguridad en toda la Unión en respuesta a la evolución del panorama de las amenazas, y tienen en cuenta la transformación digital, que se ha visto acelerada por la pandemia de COVID-19.

La Directiva SRI 2:

• define nuevas normas mínimas relativas a un marco regulador;
• establece mecanismos para una cooperación eficaz entre las autoridades competentes de cada Estado miembro;
• actualiza la lista de sectores y actividades sujetos a las obligaciones de ciberseguridad;
• gestiona incidentes de ciberseguridad (enlace al RGPD).

Los Estados miembros tenían de plazo hasta octubre de 2024 para incorporar la SRI 2 por completo a su Derecho interno y para aplicarla.

• La UE refuerza la ciberseguridad y la resiliencia en toda la Unión con la nueva legislación adoptada por el Consejo

Conjunto de instrumentos de la UE para la seguridad de las redes 5G

Las redes 5G son cruciales no solo para la comunicación digital, sino también para sectores vitales como la energía, el transporte, la banca y la sanidad.

Además, la 5G constituye un recurso clave para propiciar la competitividad de Europa en el mercado mundial, y su ciberseguridad es fundamental para garantizar la autonomía estratégica de la Unión.

En enero de 2020, la UE acordó un conjunto de instrumentos para determinar un posible grupo de medidas comunes que mitiguen los principales riesgos de ciberseguridad de las redes 5G y para proporcionar orientación.

• Importancia de la tecnología 5G y riesgos para la seguridad: el Consejo adopta unas Conclusiones
• Redes 5G seguras: Preguntas y respuestas sobre el conjunto de instrumentos de la UE

Financiación e investigación

La UE está actuando en varios frentes para reforzar la ciberresiliencia, proteger las comunicaciones y los datos y defender nuestra sociedad y economía en línea mediante medidas como el apoyo a la investigación y el aumento de la financiación para la innovación en el ámbito de la ciberseguridad.

Europa Digital

En el marco del programa Europa Digital para el periodo 2021-2027, la UE se ha comprometido a invertir 1 600 millones de euros en capacidades de ciberseguridad y la implantación general de infraestructuras y herramientas de ciberseguridad en toda la UE, tanto para las administraciones públicas como para las empresas y los particulares.

• El programa Europa Digital recibe la luz verde del Consejo (comunicado de prensa, 16.3.2021)
• Europa invierte en el ámbito digital: el programa Europa Digital (Comisión Europea)

Horizonte Europa

Es fundamental encontrar soluciones innovadoras que puedan protegernos de las ciberamenazas más recientes y más avanzadas. Por este motivo, la ciberseguridad es un componente importante de los programas marco de financiación de la investigación y la innovación de la UE (Horizonte 2020 y su sucesor, Horizonte Europa). En mayo de 2020, la UE destinó 49 millones de euros a impulsar la innovación en los sistemas de ciberseguridad y privacidad.

• Horizonte Europa
• La UE concede casi 49 millones de euros para impulsar la innovación en sistemas de ciberseguridad y privacidad (comunicado de prensa de la Comisión Europea, 20.5.2020)

Programa de la Década Digital para 2030

La seguridad digital se fundamenta en contar con suficientes expertos con las competencias adecuadas. En este momento existe un gran déficit de estos expertos, así que la UE está invirtiendo activamente en el desarrollo de competencias digitales.

El Programa de la Década Digital para 2030 apoya las inversiones en ámbitos clave como la informática de alto rendimiento, la infraestructura y los servicios comunes de datos, la cadena de bloques, los procesadores de baja potencia, el despliegue paneuropeo de corredores 5G, la asociación en materia de alta tecnología para las capacidades digitales, la infraestructura cuántica segura, una red de centros de ciberseguridad, la administración pública digital, las instalaciones de ensayo y los centros de innovación digital.

• El Consejo da luz verde al Centro de Competencia en Ciberseguridad con sede en Bucarest (comunicado de prensa, 20.4.2021)
• Red y Centro Europeos de Competencia en Ciberseguridad

Centro de Competencia en Ciberseguridad

En abril de 2021, el Consejo adoptó el Reglamento por el que se establece el Centro Europeo de Competencia Industrial, Tecnológica y de Investigación en Ciberseguridad en Bucarest, Rumanía, con el respaldo de la Red de Centros Nacionales de Coordinación.

Sus objetivos son:

• seguir mejorando la ciberresiliencia,
• contribuir a la implantación de la tecnología de última generación en materia de ciberseguridad,
• proporcionar apoyo a las empresas emergentes y las pymes del sector de la ciberseguridad,
• reforzar la investigación y la innovación en materia de ciberseguridad,
• contribuir a colmar el déficit de capacidades en materia de ciberseguridad.