Propuesta de “Cybersecurity Act 2” de la Comisión Europea

El pasado 20 de enero la Comisión Europea presentó una propuesta de Reglamento para actualizar el marco de ciberseguridad de la UE: la Propuesta de Reglamento relativo a la Agencia de la Unión Europea para la Ciberseguridad (ENISA), el marco europeo de certificación de la ciberseguridad, y la seguridad de la cadena de suministro de TIC. Esta propuesta pretende sustituir el actual Reglamento (UE) 2019/881 (“Cybersecurity Act”).

Esta “Cybersecurity Act 2” (“CSA2”) llega en un momento de amenazas al alza, alta dependencia tecnológica y necesidad de simplificar reglas, e incorpora ajustes para facilitar el cumplimiento de la Directiva (UE) 2022/2555 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión (“NIS2”). En esta entrada, resumimos sus principales disposiciones y su encaje práctico con otras normas, incluyendo el Reglamento (UE) 2024/2847 relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales (Reglamento de Ciberresiliencia o “CRA”), el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero (“DORA”), o NIS2.

Contexto y objetivos de la reforma

La Comisión encuadra la reforma en su agenda de seguridad económica y resiliencia, señalando desajustes del marco actual, la lenta implantación del ECCF y la fragmentación normativa y de enfoques nacionales, con dos objetivos claros: (i) aumentar capacidades y resiliencia; y (ii) evitar la fragmentación del mercado interior mediante instrumentos comunes (por ejemplo, la certificación) y marcos armonizados.

Cuatro pilares de la CSA2: qué cambia y por qué importa

1.     Refuerzo del mandato de ENISA

La propuesta sitúa a ENISA como referente único de la UE en cuatro frentes: apoyo a la aplicación coherente del Derecho de la Unión (con asistencia técnica y creación de capacidades), cooperación operativa y conciencia situacional compartida (incluidas alertas tempranas y repositorios de inteligencia de amenazas), certificación y normalización, y el despliegue de la Cybersecurity Skills Academy (perfiles ECSF y esquemas de acreditación individual). También prevé más recursos (presupuesto y plantilla) y colaboración reforzada con los CSIRTs, EU-CyCLONe, CERT-EU, la ECCC y Europol.

En la práctica, esto se traduce en alertas tempranas sobre ciberamenazas transfronterizas, repositorios de inteligencia de amenazas verificada, apoyo en la gestión de incidentes significativos y ejercicios de cibercrisis con un repositorio de lecciones aprendidas. ENISA seguirá manteniendo la base europea de vulnerabilidades y los servicios de gestión coordinada de vulnerabilidades (CVD).

2.     Reforma del European Cybersecurity Certification Framework (ECCF)

El ECCF se amplía y gana agilidad con plazos y gobernanza más claros: ENISA actuará como “scheme manager” con un plazo indicativo de 12 meses para elevar esquemas candidatos tras la petición de la Comisión, y el marco se alinea expresamente con la legislación horizontal (por ejemplo, CRA y NIS2) para que la certificación funcione como herramienta de cumplimiento y otorgue presunción de conformidad cuando proceda. Además, se abre la puerta a certificar el nivel global de madurez en ciberseguridad de las entidades (es decir, el conjunto de políticas, controles y capacidades que definen su preparación frente a ciberamenazas), no solo productos, servicios, procesos y Managed Security Services o MSS.

3.     Marco horizontal de seguridad de la cadena de suministro TIC (riesgos no técnicos)

Se propone un mecanismo europeo, proporcional y basado en riesgos, para identificar activos TIC clave, definir medidas de mitigación (incluidas restricciones o prohibiciones para proveedores de alto riesgo) y designar países que supongan preocupaciones de ciberseguridad por factores de jurisdicción, control, interferencia extranjera o falta de garantías efectivas, con revisiones periódicas.

En cuanto a su ámbito subjetivo, aplica a entidades NIS2 que utilicen activos TIC considerados "clave", a operadores de telecomunicaciones, a grandes compradores públicos de TIC y, de forma indirecta, a los proveedores que suministren componentes para esos activos. 

En cuanto a las obligaciones, el mecanismo funciona en cuatro pasos: primero, el Grupo de Cooperación NIS evalúa los riesgos de forma coordinada; segundo, la Comisión adopta actos de ejecución que identifican qué activos son "clave" y qué medidas deben aplicarse (diversificación de proveedores, diligencia debida reforzada, etc.); tercero, se elaboran listas de proveedores de alto riesgo atendiendo a su establecimiento, propiedad y control; y cuarto, se prevé un procedimiento de exención para proveedores que demuestren garantías suficientes contra interferencias indebidas.  

En el sector de las telecomunicaciones (móvil, fijo y satélite), el régimen es más concreto: un anexo fija los activos clave y se establece la retirada progresiva de componentes de proveedores de alto riesgo, con un plazo máximo de 36 meses en redes móviles desde la publicación de la lista.

4.     Simplificación y coherencia con NIS2

La propuesta busca reducir cargas, aclarar alcance y definiciones y facilitar la supervisión transfronteriza, en línea con el “Digital Omnibus” (ventanilla única de notificación de incidentes) y con el papel coordinador reforzado de ENISA (asistencia mutua). Esto debería reducir de forma significativa los costes de cumplimiento, en especial para pymes y “small mid-caps”.

Encaje con el acervo de ciberseguridad de la UE

La reforma se alinea con NIS2 (seguridad de operadores esenciales e importantes), CRA (requisitos horizontales para productos con elementos digitales), la Cyber Solidarity Act (capacidad de respuesta), el “5G Toolbox” y la normativa sectorial, como DORA en servicios financieros). La idea central es dotar de más coherencia, menos solapamientos y un uso inteligente de la certificación y de herramientas comunes para presumir conformidad y simplificar las auditorías.

La Comisión subraya que el ECCF revisado se diseñará para encajar con CRA y NIS2, de modo que la certificación sea una palanca práctica para demostrar cumplimiento técnico y reducir cargas multi-marco, mientras el nuevo régimen de cadena de suministro cubre los riesgos no técnicos y complementa los controles del ECCF/CRA.

Conclusión

CSA2 persigue tres fines: reforzar el papel de ENISA, convertir la certificación en una palanca real de cumplimiento y confianza, y cerrar las brechas de seguridad en la cadena de suministro con una respuesta europea coordinada y proporcionada. Su valor está en la convergencia con NIS2 y CRA y en el foco en riesgos no técnicos que, hasta ahora, se abordaban de forma dispersa.