Reglamento de Ciberseguridad de la UE

Un nuevo mandato para ENISA

ENISA, la Agencia de la UE para la Ciberseguridad, es ahora más fuerte. La Ley de Ciberseguridad de la UE otorga un mandato permanente a la Agencia y le otorga más recursos y nuevas tareas.

ENISA ha desempeñado un papel clave en la creación y el mantenimiento del Marco Europeo de Certificación de la Ciberseguridad al preparar el terreno técnico para regímenes de certificación específicos. Se encarga de informar al público sobre los sistemas de certificación y los certificados expedidos a través de un sitio web específico. 

La ENISA tiene el mandato de aumentar la cooperación operativa a escala de la UE, ayudar a los Estados miembros de la UE que deseen solicitarla a gestionar sus incidentes de ciberseguridad y apoyar la coordinación de la UE en caso de ciberataques y crisis transfronterizos a gran escala.

Esta tarea se basa en el papel de ENISA como secretaría de la red nacional de equipos de respuesta a incidentes de seguridad informática (CSIRT), establecida por la Directiva sobre seguridad de las redes y sistemas de información (Directiva SRI).

En enero de 2026, la Comisión propuso un nuevo Reglamento de Ciberseguridad para seguir reforzando la resiliencia y las capacidades de ciberseguridad de la UE. En virtud de la propuesta, ENISA seguirá apoyando a las empresas y partes interesadas que operan en la UE mediante la emisión de alertas tempranas de ciberamenazas e incidentes. 

En cooperación con Europol y los equipos de respuesta a incidentes de seguridad informática (CSIRT), ayudará a las empresas a responder a los ataques de ransomware y a recuperarse de ellos.

ENISA también desarrollará una capacidad común de servicio de gestión de vulnerabilidades de la Unión y prestará servicios de gestión de vulnerabilidades a las partes interesadas. Operará el punto de entrada única para la notificación de incidentes propuesto en el Ómnibus Digital.

La Ley de Ciberseguridad revisada también tiene por objeto reducir los riesgos en la cadena de suministro de TIC de la UE de proveedores de terceros países con problemas de ciberseguridad. Establece un marco fiable de seguridad de la cadena de suministro de TIC utilizando un enfoque armonizado, proporcionado y basado en el riesgo. Los recientes incidentes de ciberseguridad han puesto de relieve los principales riesgos de vulnerabilidades en las cadenas de suministro de TIC, que son esenciales para los servicios e infraestructuras críticos.

Un marco europeo de certificación de la ciberseguridad

El Reglamento de Ciberseguridad de la UE introduce un marco de certificación de la ciberseguridad a escala de la UE para los productos, servicios y procesos de TIC. Las empresas que hacen negocios en la UE se beneficiarán de tener que certificar sus productos, procesos y servicios de TIC una sola vez y ver sus certificados reconocidos en toda la Unión Europea.

Con la propuesta sobre la Ley de Ciberseguridad revisada, el Marco Europeo de Certificación de la Ciberseguridad renovado aportará más claridad y simplificará los procedimientos para el desarrollo de regímenes en un plazo de doce meses por defecto. 

Modificaciones específicas

El 18 de abril de 2023, la Comisión propuso una modificación específica del Reglamento de Ciberseguridad de la UE. Esta modificación específica se adoptó el 15 de enero de 2025 y tiene por objeto permitir la futura adopción de regímenes europeos de certificación de los «servicios de seguridad gestionados» que abarquen ámbitos como la respuesta a incidentes, las pruebas de penetración, las auditorías de seguridad y la consultoría. La certificación es clave para garantizar un alto nivel de calidad y fiabilidad de estos servicios de ciberseguridad altamente críticos y sensibles que ayudan a las empresas y organizaciones a prevenir, detectar, responder o recuperarse de incidentes.

El 20 de enero de 2026, la Comisión también propuso modificaciones específicas de la Directiva SRI 2 para aumentar la claridad jurídica. Las modificaciones simplificarán el cumplimiento de las normas de ciberseguridad de la UE y los requisitos de gestión de riesgos para las empresas que operan en la UE. Facilitarán el cumplimiento para 28.700 empresas, incluidas 6.200 microempresas y pequeñas empresas.