La nueva ley de ciberseguridad Europea

La nueva ley de ciberseguridad Europea
De JakinCode · 01/2026 

·  Certificaciones y normativa

Etiquetas: Conciencia cibernética , Seguridad informática

El 20 de enero de 2026, la Comisión Europea propuso un paquete legislativo que redefine la forma en que la Unión Europea (UE) protege sus infraestructuras, empresas y ciudadanos frente a las crecientes amenazas digitales. Este paquete representa un avance significativo en la política de seguridad digital europea. Se trata de una revisión en profundidad de la Ley de Ciberseguridad de la UE, con mayor atención a la introducción de medidas de seguridad de la cadena de suministro de tecnologías de la información y comunicación (TIC). Asimismo, los esfuerzos se orientan a que el cumplimiento reformar el Marco Europeo de Certificación de Ciberseguridad para facilitar el cumplimiento normativo.

El Contexto Estratégico

Europa se enfrenta hoy a un panorama de amenazas que exceden los esquemas tradicionales de defensa. Las recientes vulnerabilidades globales, como el creciente uso de IA maliciosa, o ataques a infraestructuras críticas, han forzado a la UE a reconocer que la ciberseguridad ya no es un asunto tecnológico aislado, sino un componente estratégico de su soberanía digital.

Las propuestas planteadas en materia de ciberseguridad forman parte de un impulso político más amplio dentro del denominado Paquete Digital de la Comisión Europea. Su objetivo es simplificar el entorno regulatorio europeo, impulsar la innovación y, al mismo tiempo, reforzar la resiliencia frente a riesgos tecnológicos sistémicos.

La Nueva Ley de Ciberseguridad

La propuesta presentada en enero de 2026 actualiza y amplía el marco que anteriormente regía bajo el Cybersecurity Act de 2019, consolidando una legislación más sólida que integra nuevas obligaciones y enfoques que reflejan el riesgo digital contemporáneo.

La nueva Ley de Ciberseguridad busca:

  • fortalecer la resiliencia de redes y sistemas esenciales,
  • mejorar la cooperación entre autoridades nacionales,
  • y situar a la UE en la vanguardia global de ciberdefensa.

En este sentido, La Agencia de la Unión Europea para la Ciberseguridad (ENISA) verá reforzadas sus competencias como actor central en la protección digital. Entre las nuevas funciones figura:

  • emisión temprana de alertas ante amenazas emergentes,
  • gestión de vulnerabilidades a nivel de la Unión,
  • y apoyo reforzado a los equipos de respuesta ante incidentes (CSIRTs).

Este enfoque busca enfrentar no solo ataques técnicos, sino también incidentes disruptivos que puedan afectar infraestructuras críticas y servicios esenciales.

Simplificación de cumplimiento y NIS2 complementaria

El paquete incluye enmiendas dirigidas a la NIS2 (Directiva sobre la seguridad de las redes y sistemas de información), facilitando el cumplimiento de obligaciones por parte de las empresas. Se busca reducir la complejidad de los requisitos de supervisión y gestión de riesgos. Las nuevas revisiones introducen un marco para asegurar aún más la cadena de suministro TIC en infraestructuras críticas, con foco especial en proveedores de terceros países considerados de alto riesgo.

Seguridad de la Cadena de Suministro: Un Pilar Estratégico

Como se indicaba en el apartado anterior, uno de los cambios más relevantes del nuevo paquete es el énfasis en la seguridad de las cadenas de suministro de TIC, una respuesta directa a los riesgos que plantea la dependencia de tecnologías y componentes de terceros países considerados de “alto riesgo”. La nueva propuesta introduce un marco basado en el riesgo para mitigar amenazas en toda la cadena de suministro, desde componentes de hardware hasta software y servicios asociados.

La iniciativa contempla la posibilidad de restringir o eliminar gradualmente el uso de tecnología considerada de alto riesgo en infraestructuras críticas, incluido el sector de telecomunicaciones y servicios esenciales. Esta medida subraya la necesidad europea de lograr una mayor independencia tecnológica.

La propuesta pretende homogeneizar criterios entre los Estados miembros para evaluar riesgos en la cadena de suministro, reemplazando enfoques fragmentados que dificultan la cooperación y la interoperabilidad. Esto permitirá una visión unificada de riesgos y respuestas coordinadas, algo que ENISA y las autoridades supervisoras podrán gestionar con mayor eficiencia.

Marco Europeo de Certificación de Ciberseguridad (ECCF): Más Ágil y Eficiente

La revisión del European Cybersecurity Certification Framework (ECCF) es otro pilar clave de la propuesta, concebido para transformar la certificación en una herramienta efectiva de seguridad y competitividad.

Certificación más rápida, clara y adaptable

Uno de los retos del marco previo era la lentitud en la creación y adopción de esquemas de certificación, lo que minaba su utilidad práctica. La propuesta actual establece procedimientos simplificados que permitirán desarrollar nuevos esquemas en aproximadamente 12 meses por defecto.

Además, las compañías tendrán un camino más claro para identificar qué estándares cumplir y cómo documentar su cumplimiento.

Certificación como herramienta de cumplimiento

La certificación se perfila como un medio para facilitar la interoperabilidad entre marcos regulatorios, reduciendo cargas de aplicación para las empresas.

Confianza del consumidor y mercado interno

Un ECCF fortalecido permitirá que ciudadanos, autoridades y empresas confíen en productos y servicios con certificación europea, dando seguridad garantizada en toda la cadena de suministro tecnológica.

Reducción de costes y barreras para las pymes

Los ajustes normativos incluyen mecanismos para reducir cargas a microempresas y pequeñas empresas, a menudo excluidas de grandes esquemas de cumplimiento por su complejidad y coste. Esto no solo promueve la competitividad, sino que refuerza la seguridad general del ecosistema europeo al elevar la base mínima de protección.

Integración con otros marcos y normativas

La revisión que se ha llevado a cabo  está pensada para que coexistir de manera sinérgica con otras grandes iniciativas, como el Cyber Resilience Act, la Directiva de Resiliencia Operacional Digital (DORA), y la legislación de protección de datos existente. Aunque cada uno tiene objetivos distintos, la coherencia del conjunto facilita la gestión de riesgos y el cumplimiento integral.

Hacia una Ciberseguridad Estratégica Europea

El paquete de ciberseguridad presentado en enero de 2026 marca un antes y un después en la política digital de la UE. Europa aspira a ser no solo un mercado digital protector, sino un actor global capaz de defenderse ante amenazas técnicas y geopolíticas.

Con un enfoque en la seguridad de la cadena de suministro, una certificación útil y adaptable, y medidas reales para simplificar y armonizar el cumplimiento, la UE se prepara para encarar la próxima década digital con una base más robusta y resiliente.

En JakinCode disponemos de servicios especializados en ciberseguridad que, en completa sintonía con las cuestiones aquí apuntadas, ayudan y facilitan a sus clientes a responder efectivamente a los requerimientos de ciberseguridad que exigen las autoridades de referencia a este respecto.

Artículos relacionados

  • Inteligencia Artificial Y Ciberseguridad

Inteligencia Artificial Y Ciberseguridad

02/2026

  • La nueva ley de ciberseguridad Europea

La nueva ley de ciberseguridad Europea

01/2026

  • SOC Y CSIRT: qué son y para qué son necesarios para tu empresa

SOC Y CSIRT: qué son y para qué son necesarios para tu empresa

09/2025

  • Ciberseguridad con propósito: más allá de la tecnología

Ciberseguridad con propósito: más allá de la tecnología

08/2025