La Unión Europea quiere elevar el listón de su defensa digital en un momento en el que los ciberataques y las acciones híbridas se han convertido en una rutina diaria contra servicios esenciales y contra instituciones democráticas. El 20 de enero de 2026, la Comisión Europea presentó un nuevo paquete de medidas de ciberseguridad con un objetivo explícito: reforzar la resiliencia y las capacidades de la UE ante un ecosistema de amenazas cada vez más sofisticado, en el que convergen grupos estatales y criminales.
El núcleo del paquete gira en torno a dos piezas: por un lado, una revisión de la Ley de Ciberseguridad (Cybersecurity Act) para endurecer el enfoque sobre cadenas de suministro TIC y simplificar la certificación europea; por otro, ajustes específicos a NIS2 para reducir fricción regulatoria, mejorar la claridad jurídica y fortalecer la coordinación, con un papel más incisivo para ENISA, la Agencia de la UE para la Ciberseguridad.
Una idea central: la cadena de suministro ya no es solo “un tema técnico”
La Comisión parte de una premisa que en 2026 ya es difícil discutir: muchas de las brechas más graves no nacen de un “fallo puntual”, sino de dependencias, terceros y cadenas de suministro. En el lenguaje comunitario, la seguridad de suministro deja de ser únicamente la robustez de un producto o servicio y pasa a incluir riesgos vinculados al proveedor, dependencias estratégicas e incluso interferencias externas en un contexto geopolítico tenso.
Con ese marco, la revisión de la Ley de Ciberseguridad aspira a establecer un “marco de seguridad de la cadena de suministro TIC de confianza”, armonizado y basado en riesgo, para identificar y mitigar riesgos de forma coordinada en los 18 sectores críticos de la UE, considerando también el impacto económico y la disponibilidad de oferta en el mercado.
Qué propone el paquete, en términos prácticos
Tabla — Las 4 palancas del paquete europeo
| Palanca | Qué cambia | A quién impacta más | Para qué sirve |
|---|---|---|---|
| Cadena de suministro TIC | Marco de confianza, armonizado y basado en riesgo; foco en proveedores de terceros países con preocupaciones de ciberseguridad | Operadores, sector público, proveedores TIC, sectores críticos | Reducir dependencia y riesgo sistémico |
| Certificación europea | Procedimientos más simples y plazos por defecto más ágiles (esquemas en 12 meses) | Fabricantes, proveedores de servicios, MSSP, compras públicas | “Cyber-secure by design” y señales de confianza verificables |
| Simplificación del cumplimiento | Cambios dirigidos en NIS2 para aclarar jurisdicción y reducir cargas | Empresas afectadas por NIS2 (incluidas pymes) | Menos complejidad y mejor supervisión transfronteriza |
| ENISA reforzada | Alertas tempranas, apoyo ante ransomware, gestión de vulnerabilidades y coordinación | Estados miembros, CSIRT, empresas y entidades críticas | Respuesta más rápida y coordinación europea real |
(Síntesis basada en la documentación publicada por la Comisión.)
“Derisking” en redes móviles: el paquete se apoya en la caja de herramientas 5G
Un punto especialmente sensible es el de las redes móviles. La Comisión indica que la revisión de la Ley de Ciberseguridad permitirá un “derisking” obligatorio frente a proveedores de terceros países considerados de alto riesgo en redes móviles, apoyándose en el trabajo ya realizado con la 5G security toolbox.
Traducido al terreno: Bruselas quiere un instrumento legal más robusto para que el enfoque no dependa solo de recomendaciones o de ritmos desiguales entre países, sino de una capacidad común para reducir exposición cuando existan riesgos relevantes.
Certificación: menos burocracia, más señal de mercado
La segunda gran palanca es la certificación. La Comisión propone una renovación del European Cybersecurity Certification Framework (ECCF) para que sea más claro y operativo, con procedimientos más simples y con un principio de agilidad: por defecto, los esquemas de certificación deberían desarrollarse en 12 meses.
La tesis es doble:
- Para empresas, la certificación se plantea como una herramienta voluntaria y práctica que ayude a demostrar cumplimiento con normativa europea y reduzca costes y carga administrativa.
- Para el mercado, el ECCF se presenta como un activo competitivo: una forma de elevar confianza y seguridad en cadenas complejas donde los compradores (y la contratación pública) necesitan criterios verificables.
La Comisión sugiere además ampliar el alcance: no solo productos y servicios TIC, sino también procesos y servicios de seguridad gestionados, e incluso la posibilidad de certificar la “postura” de ciberseguridad de una organización cuando el mercado lo demande.
NIS2: ajustes para reducir fricción y mejorar la coordinación
El paquete incluye en paralelo enmiendas dirigidas a NIS2 para aumentar claridad jurídica y facilitar el cumplimiento. La Comisión menciona el objetivo de aliviar cargas para 28.700 empresas, incluidas 6.200 micro y pequeñas, y crear una nueva categoría de small mid-cap para reducir costes de cumplimiento para 22.500 organizaciones.
Entre los cambios anunciados aparecen también la simplificación de reglas de jurisdicción, la mejora en la recogida de datos sobre ransomware y una supervisión más eficiente de entidades transfronterizas, con ENISA jugando un papel coordinador más fuerte.
ENISA, más que una agencia técnica: alertas tempranas, ransomware y gestión de vulnerabilidades
Desde la adopción del Cybersecurity Act de 2019, ENISA ha ido ganando peso en el ecosistema europeo. Con el paquete de enero de 2026, la Comisión propone reforzarla para ayudar a la UE y a los Estados miembros a entender amenazas comunes y mejorar preparación y respuesta ante incidentes.
Entre las funciones destacadas:
- Emisión de alertas tempranas sobre amenazas e incidentes.
- Apoyo a organizaciones en respuesta y recuperación frente a ransomware, en cooperación con Europol y CSIRT.
- Desarrollo de un enfoque de la UE para mejores servicios de gestión de vulnerabilidades.
- Impulso a capacidades de talento, con la Cybersecurity Skills Academy y esquemas europeos de acreditación de habilidades.
En el plano político, la vicepresidenta ejecutiva Henna Virkkunen enmarcó el paquete como una respuesta a riesgos estratégicos que afectan a democracia y economía, y como un paso para asegurar la “soberanía tecnológica” europea.
Calendario: propuesta hoy, negociación mañana
La Comisión remite ahora el paquete al Parlamento Europeo y al Consejo. Según lo anunciado, la Ley de Ciberseguridad revisada sería aplicable tras su aprobación, mientras que las enmiendas a NIS2 requerirían transposición: los Estados miembros tendrían 1 año para implementar la Directiva modificada en derecho nacional una vez adoptada.
Preguntas frecuentes
¿Qué significa que la UE quiera asegurar la “cadena de suministro TIC”?
Implica tratar la ciberseguridad como un riesgo sistémico: no solo importa el software o el hardware, también dependencias, proveedores, subcontratas y riesgo geopolítico asociado a determinados suministradores en sectores críticos.
¿Qué cambia para empresas que venden tecnología o servicios en Europa?
El énfasis está en una certificación más ágil y clara y en un enfoque “secure by design”. Para fabricantes, integradores y proveedores de servicios, la certificación europea puede convertirse en una señal de confianza con valor comercial, especialmente en compras públicas y sectores regulados.
¿La revisión del Cybersecurity Act afecta a redes 5G y telecomunicaciones?
Sí. La Comisión vincula el nuevo marco con la posibilidad de reducir riesgos (“derisking”) de proveedores de alto riesgo en redes móviles, apoyándose en el trabajo previo de la 5G toolbox.
¿Cuándo se notará el impacto real de estas medidas?
No es inmediato: primero deben negociarse y adoptarse. Aun así, el paquete marca la dirección regulatoria y de mercado: más exigencia en supply chain, más foco en certificación y un papel más fuerte de ENISA para coordinación y respuesta.
