Europa se plantea la revisión de su ley de ciberseguridad ante el nuevo escenario de ciberamenazas

Sin embargo, la ley de IA parece no ser la única que las autoridades quieren revisar. Y es que recientemente la Comisión ha abierto una consulta en la que introduce la posibilidad de reexaminar la Ley de Ciberseguridad que opera actualmente en la Unión Europea. 

En concreto, desde el organismo comunitario precisan que esta posible revisión de la legislación de 2019 nace de un esfuerzo por reforzar la resiliencia del territorio frente al nuevo panorama marcado por las ciberamenazas, así como por su intención de simplificar los procesos normativos.

INCIBE

Félix Barrio (INCIBE): "Los retos a afrontar en ciberseguridad en el corto plazo marcarán los siguientes años"

En este sentido, señalan que, por un lado, dicha reformulación se centrará inicialmente en el mandato de ENISA, la agencia de la Unión Europea para la ciberseguridad, el Marco Europeo de Certificación de la Ciberseguridad y en abordar los retos de seguridad de la cadena de suministro de las TIC. Por otro, la intención es que este planteamiento sirva para simplificar los requerimientos de la ley y, así, facilitar su implementación, reducir la burocracia y fomentar un entorno más favorable para las empresas afectadas por la misma. 

Con el objetivo de llevar a buen puerto esta posible revisión, la Comisión ha hecho un llamamiento a las partes interesadas para que den su opinión en una encuesta abierta hasta el próximo 20 de junio. En ella pueden participar desde las autoridades competentes de cada uno de los estados miembros, hasta las autoridades de ciberseguridad o las asociaciones industriales y comerciales, además de los investigadores y el mundo académico e incluso las entidades que representan a los consumidores y los ciudadanos. 

Una ley clave 

La Ley de Ciberseguridad de la UE es uno de los instrumentos legislativos con los que cuenta la región para ciberprotegerse frente a las amenazas digitales, junto a otras normas como la Directiva de Seguridad de las Redes y los Sistemas de Información, conocida como NIS (en su primera y su segunda versión) y las normativas relativas a la protección de las telecomunicaciones. Estos documentos aspiran a convertir a Europa en un territorio lo más ciberseguro posible. 

A pesar de que todas son imprescindibles en este camino, la ley protagonista de este artículo ha supuesto un antes y un después en este proceso, ya que promueve una serie de obligaciones que han sido y son claves. Entre ellas, la norma introdujo por primera vez certificaciones de ciberseguridad comunes para productos, procesos y servicios dentro del territorio europeo. 

EP

España traspone la NIS2 con una ley de ciberseguridad propia tres meses después de que cumpla el plazo europeo

Además, también otorgó más recursos humanos y económicos a ENISA y, lo más importante, dotó al organismo de un mandato permanente con el objetivo de facilitar el cumplimiento de sus objetivos. 

No obstante, su incorporación al core legislativo comunitario no ha sido un camino lineal y, de hecho, la revisión planteada por la Comisión no ha sido la única a la que se ha enfrentado la norma desde su aprobación en marzo de 2019 con 586 votos a favor. Y es que, apenas cuatro años después, en abril de 2023, el mismo organismo propuso una enmienda a esta ley cuyo objetivo era permitir la adopción futura de esquemas de certificación europeos relativos a los "servicios de seguridad gestionados" que abarcasen áreas como las auditorías de seguridad o la consultoría. 

Esta se adoptó hace solo unos meses, en enero de 2025, y las entidades relacionadas celebraron que fue un hito clave para garantizar la fiabilidad de los servicios críticos que ayudan a empresas y entidades a prevenir, detectar o responder ante estos incidentes. Ahora, menos de medio año después, la posibilidad de una revisión y modificación vuelve a ponerse sobre la mesa.