Políticas de ciberseguridad de la UE

La Comisión Europea y el Alto Representante de la Unión para Asuntos Exteriores y Política de Seguridad presentaron una nueva Estrategia de Ciberseguridad de la UE a finales de 2020.

La Estrategia abarca la seguridad de servicios esenciales como hospitales, redes energéticas y ferrocarriles. También cubre la seguridad del número cada vez mayor de objetos conectados en nuestros hogares, oficinas y fábricas.

La Estrategia se centra en la creación de capacidades colectivas para responder a los principales ciberataques y trabajar con socios de todo el mundo para garantizar la seguridad y la estabilidad internacionales en el ciberespacio.

Directiva relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión (Directiva SRI 2)

Las amenazas a la ciberseguridad son casi siempre transfronterizas, y un ciberataque a las instalaciones críticas de un país puede afectar a la UE en su conjunto. Los países de la UE deben contar con organismos gubernamentales sólidos que supervisen la ciberseguridad en su país y que colaboren con sus homólogos de otros Estados miembros compartiendo información. Esto es particularmente importante para los sectores que son críticos para nuestras sociedades.

La primera Directiva sobre la seguridad de las redes y sistemas de información (Directiva SRI) garantiza la creación y la cooperación de dichos organismos gubernamentales. Esta Directiva se revisó a finales de 2020, lo que dio lugar a la propuesta y adopción de la Directiva SRI 2. Los Estados miembros tenían hasta el 18 de octubre de 2024 para transponer y aplicar plenamente la SRI 2.

ENISA, la agencia de ciberseguridad de la UE

ENISA es la Agencia de la Unión Europea para la Ciberseguridad, creada en 2005. El mandato se revisó en 2019 y, desde entonces, la Agencia tiene un mandato permanente. 

Los principales objetivos y tareas de ENISA se establecen en el acto de base, a saber, el Reglamento de Ciberseguridad. ENISA presta apoyo a los Estados miembros, las instituciones de la UE y las empresas en ámbitos clave, incluida la aplicación de la Directiva SRI, la Ley de Ciberresiliencia y la Ley de Cibersolidaridad. La Agencia también apoya el proceso de certificación de la ciberseguridad de los productos, servicios y procesos de TIC, tal como se establece en el título III de la CSA. 

La Ley de Ciberseguridad

El Reglamento de Ciberseguridad se adoptó en 2019 y reforzó el papel de la Agencia de la Unión Europea para la Ciberseguridad (ENISA). Confirió a la Agencia un mandato permanente y la facultó para contribuir a intensificar tanto la cooperación operativa como la gestión de crisis en toda la UE. También cuenta con más recursos financieros y humanos que antes.

El Reglamento de Ciberseguridad también estableció el Marco Europeo de Certificación de la Ciberseguridad (ECCF), que establece requisitos comunes de ciberseguridad y criterios de evaluación para la certificación de productos, servicios y procesos de TIC. Encontrará más información en el sitio web específico de ENISA.

Una modificación específica del Reglamento de Ciberseguridad, adoptada el 15 de enero de 2025, amplió el ámbito de aplicación de la certificación a los servicios de seguridad gestionados.

El 20 de enero de 2026, la Comisión propuso un nuevo paquete de ciberseguridad para seguir reforzando la resiliencia y las capacidades de la UE en materia de ciberseguridad frente a estas crecientes amenazas, incluidas las modificaciones de la Directiva SRI 2. Estas medidas tienen por objeto simplificar el cumplimiento de las normas de ciberseguridad de la UE y los requisitos de gestión de riesgos para las empresas que operan en la UE. Las modificaciones simplificarán las normas jurisdiccionales, racionalizarán la recogida de datos sobre ataques de ransomware y facilitarán la supervisión de las entidades transfronterizas con la función de coordinación reforzada de ENISA.

La Ley de Ciberseguridad revisada también tiene por objeto reducir los riesgos en la cadena de suministro de TIC de la UE de proveedores de terceros países con problemas de ciberseguridad. Establece un marco fiable de seguridad de la cadena de suministro de TIC utilizando un enfoque armonizado, proporcionado y basado en el riesgo. Los recientes incidentes de ciberseguridad han puesto de relieve los principales riesgos de vulnerabilidades en las cadenas de suministro de TIC, que son esenciales para los servicios e infraestructuras críticos.

Ley de Ciberresiliencia

Ley de Cibersolidaridad

El Reglamento de Cibersolidaridad entró en vigor el 4 de febrero de 2025 con el objetivo de mejorar la preparación, la detección y la respuesta a los incidentes de ciberseguridad en toda la UE.

El Plan Cibernético

El 24 de febrero de 2025 se publicó un proyecto de Recomendación del Consejo sobre el Plan director de la UE para la gestión de crisis de ciberseguridad (Plan director de ciberseguridad). El objetivo de la presente Recomendación es presentar de manera clara, sencilla y accesible el marco de la UE para la gestión de cibercrisis. El plan propuesto actualiza el marco global de la UE para la gestión de crisis de ciberseguridad y mapea a los agentes pertinentes de la UE, describiendo sus funciones a lo largo de todo el ciclo de vida de la crisis. Esto incluye la preparación y el conocimiento compartido de la situación para anticipar incidentes cibernéticos, y las capacidades de detección necesarias para identificarlos, incluidas las herramientas de respuesta y recuperación necesarias para mitigar, disuadir y contener esos incidentes.

El 4 de noviembre de 2025, funcionarios de ciberseguridad de los Estados miembros de la UE y de la Comisión participaron en la edición de 2025 del «Ejercicio de nivel operativo del plan director» (BlueOLEx), que es el primer ejercicio desde la adopción del nuevo plan director de ciberseguridad de la UE que aclara las funciones y responsabilidades en una crisis. Las lecciones aprendidas de estos ejercicios se incorporarán a la estrategia más amplia de la Unión de Preparación de la UE, mejorando las respuestas coordinadas a las amenazas multidimensionales y multisectoriales. 

Plan de recuperación

La ciberseguridad es una de las prioridades de la Comisión en su respuesta a la crisis del coronavirus, ya que hubo un aumento de los ciberataques durante el confinamiento. El Plan de Recuperación para Europa incluye inversiones adicionales en ciberseguridad.

Apoyo a la investigación y la innovación: Horizonte 2020 y CPPP; Horizonte Europa

La investigación en seguridad digital es esencial para construir soluciones innovadoras que puedan protegernos contra las amenazas cibernéticas más recientes y avanzadas. Por ello, la ciberseguridad es una parte importante de Horizonte 2020 y de su sucesor Horizonte Europa. 

En Horizonte Europa, para el período 2021-2027, la ciberseguridad forma parte del clúster «Seguridad civil para la sociedad». 

Como parte de Horizonte 2020, la Comisión cofinanció la investigación y la innovación en temas como la preparación en materia de ciberseguridad a través de ciberrangos y simulaciones, la ciberseguridad para las pequeñas y medianas empresas, la ciberseguridad en el sistema eléctrico y energético, y la ciberseguridad y la protección de datos en sectores críticos. Estos temas se incluyen en el clúster «Sociedades seguras: proteger la libertad y la seguridad de Europa y sus ciudadanos».

En 2016, la Comisión Europea y la Organización Europea de Ciberseguridad (ECSO), una asociación compuesta por miembros de la industria cibernética, el mundo académico, las administraciones públicas y más, establecieron la asociación público-privada contractual (CPPP) sobre ciberseguridad de Horizonte 2020.

Apoyo a las cibercapacidades y al despliegue

Nuestras infraestructuras físicas y digitales están estrechamente entrelazadas. Por lo tanto, la Comisión también ha invertido en ciberseguridad como parte de su programa de financiación de inversiones en infraestructuras, el Mecanismo «Conectar Europa» (MCE), para el período 2014-2020.

El apoyo del MCE se ha destinado a los equipos de respuesta a incidentes de seguridad informática, los operadores de servicios esenciales, los proveedores de servicios digitales, los puntos de contacto únicos y las autoridades nacionales competentes. Esto mejora las capacidades de ciberseguridad y la colaboración transfronteriza dentro de la UE, apoyando la aplicación de la Estrategia de Ciberseguridad de la UE.

El Programa Europa Digital, para el período 2021-2027, es un ambicioso programa que tiene previsto invertir 1 900 millones EUR en capacidad de ciberseguridad y en el amplio despliegue de infraestructuras y herramientas de ciberseguridad en toda la UE para las administraciones públicas, las empresas y los particulares.

La ciberseguridad también forma parte de InvestEU, que es un programa general que reúne muchos instrumentos financieros y utiliza la inversión pública para garantizar nuevas inversiones del sector privado. Su instrumento de inversión estratégica apoyará las cadenas de valor clave en materia de ciberseguridad. Es una parte importante del paquete de recuperación en respuesta a la crisis del coronavirus.

Atlas de Ciberseguridad

El Centro Europeo de Competencia Industrial, Tecnológica y de Investigación en Ciberseguridad pondrá en común los conocimientos especializados y armonizará el desarrollo y el despliegue europeos de la tecnología de ciberseguridad. Trabajará con la industria, la comunidad académica y otros para construir una agenda común de inversiones en ciberseguridad, y decidirá las prioridades de financiación para la investigación, el desarrollo y el despliegue de soluciones de ciberseguridad a través de los programas Horizonte Europa y Europa Digital.

En la actualidad, se están ejecutando cuatro proyectos piloto para sentar las bases del Centro de Competencia y la Red. Involucran a más de 170 socios.

Para una mejor visión general de los conocimientos especializados y la capacidad en materia de ciberseguridad en toda la UE, la Comisión ha desarrollado una plataforma global denominada Atlas de Ciberseguridad.

Despliegue seguro de la 5G en la UE

Las redes 5G representan una infraestructura digital clave, ya que son la columna vertebral de muchos servicios críticos. Es esencial garantizar la ciberseguridad y la resiliencia de esta infraestructura crítica. Sobre la base de una evaluación de riesgos coordinada, los Estados miembros del Grupo de Cooperación SRI, junto con la Comisión y la ENISA, desarrollaron el conjunto de instrumentos de la UE sobre ciberseguridad 5G, que establece medidas para reforzar los requisitos de seguridad de las redes 5G, aplicar las restricciones pertinentes a los proveedores de alto riesgo y garantizar la diversificación de los proveedores.

La situación de la aplicación del conjunto de instrumentos 5G por parte de los Estados miembros se describe en el segundo informe de situación, de junio de 2023, del Grupo de Cooperación SRI. La Comisión también realizó su propia evaluación de los proveedores de 5G, que está disponible en la Comunicación de junio de 2023. 

Asegurar el proceso electoral

Nuestras democracias europeas se han vuelto cada vez más digitales: las campañas políticas se llevan a cabo en línea y las propias elecciones se realizan a través del voto electrónico en muchos países. 

La Comisión ha formulado recomendaciones para la ciberseguridad de las elecciones al Parlamento Europeo, como parte de un paquete más amplio de recomendaciones para apoyar unas elecciones europeas libres y justas. Un mes antes de las elecciones europeas de 2019, el Parlamento Europeo, los países de la UE, la Comisión y la ENISA llevaron a cabo una prueba en directo de su preparación.

Ciberseguridad de hospitales y proveedores de asistencia sanitaria

La digitalización está revolucionando la asistencia sanitaria, permitiendo mejores servicios a los pacientes. Sin embargo, los ciberataques pueden interrumpir estos servicios vitales. El 15 de enero de 2025, la Comisión presentó un plan de acción europeo sobre la ciberseguridad de los hospitales y los prestadores de asistencia sanitaria, como una de las iniciativas prioritarias establecidas en las orientaciones políticas para la Comisión 2024/29.

El plan de acción propone, entre otras cosas, que ENISA, la agencia de la UE para la ciberseguridad, cree un centro paneuropeo de apoyo a la ciberseguridad para hospitales y proveedores de asistencia sanitaria, proporcionándoles orientación, herramientas, servicios y formación adaptados. La iniciativa se basa en el marco más amplio de la UE para reforzar la ciberseguridad en todas las infraestructuras críticas.

El 7 de abril de 2025, la Comisión puso en marcha una consulta específica sobre el Plan de acción para la ciberseguridad de los hospitales y los prestadores de asistencia sanitaria, invitando a las partes interesadas a compartir sus puntos de vista. Los resultados de la consulta se tendrán en cuenta para otras recomendaciones que la Comisión tiene la intención de presentar a finales de año.

Competencias de la mano de obra

Solo podemos garantizar la seguridad digital si tenemos expertos con los conocimientos y habilidades adecuados, y actualmente no hay suficientes. Esta es la razón por la que la Comisión está tomando medidas para estimular el desarrollo de las capacidades en materia de ciberseguridad y aumentar la mano de obra de la Unión Europea.

Las capacidades de ciberseguridad, que entran en el ámbito de la agenda general de la Comisión sobre capacidades digitales, seguirán ocupando un lugar destacado en la agenda política de la Comisión, con la Unión de Capacidades prevista en las orientaciones políticas de la Comisión para 2024-2029. Los proyectos seguirán financiándose en el marco de diversos programas, en particular el programa Europa Digital y Erasmus+, para colmar la brecha de mano de obra en la Unión Europea. La Comisión seguirá haciendo uso de los instrumentos políticos existentes, como el programa estratégico de la Década Digital para 2030 y la posibilidad que ofrece de establecer proyectos plurinacionales que aborden las capacidades en materia de ciberseguridad, tal como se prevé en la Comunicación de la Comisión sobre la eliminación de la brecha de talento en materia de ciberseguridad para impulsar la competitividad, el crecimiento y la resiliencia de la UE («la Academia de Capacidades en Ciberseguridad»).

La Academia de Habilidades de Ciberseguridad

La Academia de Capacidades en Ciberseguridad, puesta en marcha como parte del Año Europeo de las Capacidades 2023, reúne iniciativas privadas y públicas a escala europea y nacional para abordar la creciente brecha en la mano de obra en materia de ciberseguridad. La Academia, alojada en línea en la plataforma digital de empleo y capacidades de la Comisión, está recibiendo el apoyo de todas las partes interesadas, en particular de la industria a través de un mecanismo de compromisos, y del mundo académico, con un edificio emblemático imitativo del éxito de la Academia: la Red Industria-Academia.

Comunicación sobre la Academia de Cibercapacidades de la UE

Ficha informativa sobre la Academia de Cibercapacidades de la UE

Sensibilización

El factor humano es a menudo el eslabón débil de la ciberseguridad: Alguien haciendo clic en un enlace de phishing puede tener enormes consecuencias. Por lo tanto, la Comisión sensibiliza sobre la ciberseguridad y promueve las mejores prácticas entre el público en general. Por ejemplo, una vez al año organiza el Mes Europeo de la Ciberseguridad junto con ENISA.

ENISA, la agencia de ciberseguridad de la UE

ENISA es la agencia de la UE que se ocupa de la ciberseguridad. Presta apoyo a los Estados miembros, las instituciones de la UE y las empresas en ámbitos clave, incluida la aplicación de la Directiva SRI.

ISACs

Los Centros de Intercambio y Análisis de Información (ISAC) fomentan la colaboración entre la comunidad de ciberseguridad en diferentes sectores de la economía. El desarrollo ulterior de los ISAC, tanto a escala nacional como de la UE, es una prioridad para la Comisión. En colaboración con ENISA, la Comisión también promueve el establecimiento de nuevos ISAC en sectores que no están cubiertos. El «consorcio de potenciación de los ISAC de la UE», supervisado por la Comisión, proporciona apoyo jurídico, técnico y organizativo a los ISAC.

CCI

El Centro Común de Investigación (JRC) de la Comisión contribuye activamente a la ciberseguridad en la UE. Por ejemplo, el CCI ha desarrollado una taxonomía de ciberseguridad. Esto alinea la terminología utilizada en ciberseguridad para que podamos tener una visión más clara de las capacidades de ciberseguridad en la UE.

El CCI también publicó recientemente un informe que ofrece información sobre el panorama actual de la ciberseguridad de la UE y su historia, titulado «La ciberseguridad: nuestro ancla digital».

CSIRT/CERT

En virtud de la Directiva SRI 2, los Estados miembros de la UE están obligados a garantizar el buen funcionamiento de los equipos de respuesta a incidentes de seguridad informática (CSIRT), también conocidos como equipos de respuesta a emergencias informáticas (CERT). Estos equipos se ocupan de los incidentes y riesgos de ciberseguridad en la práctica. Cooperan entre sí a escala de la UE y también colaboran con el sector privado.

Todos los tipos de operadores de servicios esenciales y proveedores de servicios digitales deben estar cubiertos por CSIRT designados.

Las principales tareas de los CSIRT son:

• el seguimiento de los incidentes a nivel nacional;
• proporcionar alertas tempranas, alertas, anuncios y otra información sobre riesgos e incidentes a las partes interesadas pertinentes;
• responder a los incidentes;
• proporcionar análisis dinámicos de riesgos e incidentes y conocimiento de la situación;
• participar en la red de CSIRT.

ECSO

La Organización Europea de Ciberseguridad (ECSO) se creó en 2016 con el fin de actuar como contraparte de la Comisión en una asociación público-privada contractual que abarca Horizonte 2020 en los años 2016 a 2020. La mayoría de los 250 miembros de la ECSO pertenecen a la industria de la ciberseguridad o a instituciones académicas y de investigación en este ámbito. En menor medida, los miembros de ECSO también comprenden agentes del sector público e industrias del lado de la demanda.

Además de formular recomendaciones sobre Horizonte 2020, ECSO lleva a cabo diversas actividades destinadas a la construcción comunitaria y el desarrollo industrial a escala europea.

Women4Cyber

Es importante destacar el papel de las mujeres en la comunidad de ciberseguridad, que están infrarrepresentadas. Por este motivo, la Comisión ha creado el Registro Women4Cyber, en cooperación con la iniciativa Women4Cyber de ECSO. Facilita que los medios de comunicación, los organizadores de eventos y otros encuentren a las muchas mujeres talentosas que trabajan en ciberseguridad, por lo que estas mujeres se vuelven más visibles y prominentes en la comunidad cibernética y el debate público.

La UE trabaja con sus socios para promover intereses compartidos en la política de ciberseguridad.

La ciberseguridad se debate en el contexto de las asociaciones y los diálogos digitales bilaterales, así como de la Alianza Digital UE-ALC, el diálogo regulador UE-Balcanes Occidentales, el diálogo estructurado UE-OTAN sobre resiliencia y el diálogo estructurado UE-OTAN sobre ciberseguridad y defensa. En 2023, el Grupo de Trabajo UE-OTAN sobre la resiliencia de las infraestructuras críticas publicó un informe en el que se describían importantes sectores transversales. 

El primer diálogo cibernético entre la UE y el Reino Unido tuvo lugar en Bruselas en diciembre de 2023, y el segundo un año después, el 6 de diciembre de 2024. Durante su tercer diálogo, celebrado  los días 9 y 10 de diciembre de 2025 en Bruselas, ambas partes intercambiaron puntos de vista sobre el panorama de las ciberamenazas y debatieron enfoques para desarrollar la capacidad de ciberseguridad y disuadir las ciberamenazas.

Desde 2021, la UE y Ucrania han celebrado cuatro diálogos cibernéticos. El cuarto diálogo cibernético tuvo lugar el 16 de octubre de 2025. En 2023, la Agencia de la UE para la Ciberseguridad ENISA formalizó un acuerdo de trabajo con sus homólogos ucranianos para fomentar el desarrollo de capacidades, el intercambio de mejores prácticas y el conocimiento de la situación. 

La UE también ha iniciado diálogos cibernéticos con la India, Japón, la República de Corea y Brasil.

El 28 de enero de 2026, la UE y Japón celebraron su séptimo diálogo cibernético en Bruselas, donde intercambiaron puntos de vista sobre la evolución del panorama de las ciberamenazas y las respuestas a las ciberactividades malintencionadas. Ambas partes proporcionaron actualizaciones sobre los recientes avances políticos y reglamentarios en materia de ciberseguridad, en particular en ámbitos como las tecnologías emergentes y críticas, la resiliencia de las infraestructuras críticas, la notificación de incidentes, la gestión de cibercrisis y la ciberdefensa.

El 20 de marzo de 2025, la UE y la India celebraron su octavo diálogo cibernético en Nueva Delhi, donde intercambiaron información sobre el panorama de las ciberamenazas y proporcionaron actualizaciones sobre la evolución reciente de la política y la legislación en materia de ciberseguridad. También abordaron la seguridad de la cadena de suministro, la ciberseguridad de los productos y las tecnologías emergentes.

El 20 de mayo de 2025, la UE y la República de Corea celebraron su séptimo Diálogo Cibernético en Seúl, en el que intercambiaron información sobre la evolución de la ciberpolítica y debatieron el panorama de las ciberamenazas y los marcos respectivos para prevenir, disuadir y responder a las ciberamenazas. También abordaron la ciberseguridad y la resiliencia.

Ciberdelincuencia

Los delincuentes comunes recurren a ciberataques que amenazan a los europeos. El Departamento de Migración y Asuntos de Interior de la Comisión supervisa y actualiza la legislación de la UE en materia de ciberdelincuencia y apoya la capacidad policial. La Comisión también colabora con el Centro Europeo de Ciberdelincuencia de Europol.

Ciberdiplomacia

La UE está haciendo esfuerzos para protegerse contra las ciberamenazas desde fuera de sus fronteras. Como parte de ello, la Comisión colabora con el Servicio Europeo de Acción Exterior y los Estados miembros en la aplicación de una respuesta diplomática conjunta a las actividades informáticas malintencionadas (el «conjunto de instrumentos de ciberdiplomacia»). Esta respuesta incluye la cooperación y el diálogo diplomáticos, medidas preventivas contra los ciberataques y sanciones contra quienes participen en ciberataques que amenacen a la UE.

La Comisión asiste en la toma de decisiones sobre la respuesta a las ciberamenazas externas siempre que sea necesario. También financia directamente la Iniciativa de Apoyo a la Ciberdiplomacia de la UE en curso.

Ciberdefensa

El 10 de noviembre de 2022, la Comisión y el Alto Representante presentaron una Comunicación conjunta sobre una política de ciberdefensa de la UE para hacer frente al deterioro del entorno de seguridad tras la agresión de Rusia contra Ucrania e impulsar la capacidad de la UE para proteger a sus ciudadanos y sus infraestructuras.  

La política de ciberdefensa de la UE se basa en cuatro pilares que abarcan una amplia gama de iniciativas que ayudarán a la UE y a los Estados miembros a ser más capaces de detectar, disuadir y defenderse contra los ciberataques:

1. Actuar juntos para reforzar la ciberdefensa de la UE

2. Proteger el ecosistema de defensa

3. Invertir en capacidades de ciberdefensa

4. Asociarse para hacer frente a los retos comunes

La nueva política exige inversiones en capacidades de ciberdefensa de espectro completo y reforzará la coordinación y la cooperación entre las comunidades cibernéticas militares y civiles de la UE. Reforzará la cooperación con el sector privado y la gestión eficiente de las cibercrisis en la Unión. La nueva política también ayudará a reducir nuestras dependencias estratégicas en tecnologías cibernéticas críticas y reforzará la Base Industrial Tecnológica de Defensa Europea (BITDE). Estimulará la capacitación, la atracción y la retención de talentos cibernéticos.

La UE coopera en materia de defensa en el ciberespacio a través de las actividades de la Comisión Europea, el Servicio Europeo de Acción Exterior (SEAE), la Agencia Europea de Defensa, así como ENISA y la Agencia de la Unión Europea para la Cooperación Policial (Europol).

Desarrollo de capacidades cibernéticas en terceros países

La UE coopera con otros países para ayudar a desarrollar su capacidad de defensa contra las amenazas a la ciberseguridad. La Comisión apoya diversos programas de ciberseguridad en los países de la ampliación, así como en otros países de todo el mundo a través de su departamento de Cooperación Internacional y Desarrollo.