Privacy, Data & Cybersecurity

De la confianza digital a la resiliencia estratégica: la evolución de la ciberseguridad en la UE

4 febrero 2026


La política europea de ciberseguridad no ha surgido de la nada. Es el resultado de una década de construcción normativa progresiva, marcada por crisis tecnológicas, tensiones geopolíticas y una creciente dependencia de infraestructuras digitales críticas. El anuncio de la Comisión Europea sobre el refuerzo de la resiliencia y capacidades de ciberseguridad de la Unión representa un punto de inflexión, pero solo se entiende bien si miramos el camino recorrido.

1. El punto de partida: confianza y mercado interior (2013–2019)

En una primera fase, la UE abordó la ciberseguridad principalmente como un requisito para el buen funcionamiento del mercado interior:

  • Estrategia de Ciberseguridad de la UE (2013): primer marco político, centrado en la confianza digital.
  • Directiva NIS (2016): introduce obligaciones mínimas de seguridad y notificación de incidentes para operadores esenciales.
  • Cybersecurity Act (2019): crea dos pilares fundamentales el mandato permanente de ENISA; y el marco europeo de certificación en ciberseguridad.

En esta etapa, la lógica era preventiva y técnica: armonizar, generar confianza y reducir fragmentación.

2. El cambio de contexto: de lo técnico a lo estratégico (2020–2023)

A partir de 2020, el contexto cambia radicalmente toda vez que ahora estamos en una situación en la que concurre un aumento exponencial de ransomware y ataques a hospitales, energía y transporte; se llevan a cabo ataques a cadenas de suministro (SolarWinds como paradigma); se usan los ciberataques como instrumento híbrido en conflictos geopolíticos y la tecnología cada vez acelera más (cloud, IA, edge, IoT).

La respuesta normativa se intensifica mediante la publicación normas como:

  • NIS2: más entidades, más obligaciones, más supervisión.
  • DORA (sector financiero).
  • Cyber Resilience Act (productos con elementos digitales).
  • Cyber Solidarity Act (respuesta y capacidades comunes).

La ciberseguridad deja de ser solo compliance: pasa a ser infraestructura de soberanía digital.

3. El problema detectado: complejidad, solapamientos y brechas reales

Paradójicamente, el éxito regulatorio genera un nuevo riesgo que pasa por la fragmentación práctica en la aplicación; por marcos complejos y costosos para empresas; por certificaciones lentas y poco operativas; y por riesgos crecientes en cadenas de suministro TIC, especialmente con proveedores de terceros países.

La UE detecta una desalineación entre el marco normativo y la realidad operativa, tanto para Estados como para empresas.

4. El punto actual: hacia el Cybersecurity Act 2 (2026)

Aquí se sitúa el anuncio actual: una revisión profunda del Cybersecurity Act, con tres ejes estructurales:

ENISA como actor central operativo

No solo asesorar, sino coordinar, apoyar e intervenir. Más medios, más foco y más capacidad real de respuesta.

Certificación como herramienta de cumplimiento

La certificación europea deja de ser ornamental y se integra como mecanismo transversal de cumplimiento (NIS2, CRA, potencialmente RGPD).

Seguridad de la cadena de suministro TIC

Por primera vez, se aborda de forma horizontal y armonizada el riesgo no técnico de proveedores, dependencias críticas y resiliencia industrial.

El enfoque ya no es solo “proteger sistemas”, sino proteger capacidades estratégicas europeas.

En conclusión, La UE está cerrando un ciclo basado en el paso de la confianza digital a la resiliencia estructural y de ahí a la autonomía estratégica en ciberseguridad.

La Opinión Conjunta 1/2026 del European Data Protection Board y del European Data Protection Supervisor sobre el Digital Omnibus on AI apoya el objetivo de simplificar la aplicación del AI Act, pero lanza una advertencia clara: la simplificación no puede traducirse en una rebaja del nivel de protección de los derechos fundamentales, en particular del derecho a la protección de datos. En este sentido, acepta la ampliación excepcional del tratamiento de categorías especiales de datos para la detección y corrección de sesgos, siempre que se mantenga el estándar de estricta necesidad y que su uso esté claramente delimitado para evitar abusos. Del mismo modo, rechaza eliminar obligaciones clave de registro y documentación de sistemas de IA, al considerar que la transparencia, la trazabilidad y la rendición de cuentas son elementos estructurales del modelo europeo de gobernanza algorítmica.

La Opinión también respalda los sandboxes regulatorios europeos y una mayor centralización de la supervisión en la AI Office para determinados sistemas, pero insiste en reforzar la cooperación efectiva con las autoridades de protección de datos y en preservar su independencia. Advierte igualmente contra el debilitamiento de la obligación de alfabetización en IA y muestra preocupación por el posible retraso en la aplicación de las normas sobre sistemas de alto riesgo, por su impacto directo en la protección de los derechos fundamentales. El mensaje de fondo es inequívoco: hacer el AI Act más aplicable es necesario, pero hacerlo menos exigente sería incompatible con el enfoque europeo de una IA fiable, responsable y centrada en las personas.

Related Posts

Miguel Ortego

Sancionado con 10.000€ por publicar fotos en Whatsapp sin consentimiento

8 febrero 2020

La CNIL sanciona con 1,7 millones € a Nexpublica France por insuficiencias en seguridad de datos

7 enero 2026

Corea del Sur refuerza el control de la IA: nueva obligación de DPIA para el sector público

22 octubre 2025