El nuevo paquete de ciberseguridad refuerza la resiliencia y las capacidades cibernéticas de la UE y aborda los riesgos de seguridad

Los ciberataques o ataques híbridos contra servicios esenciales como hospitales, transporte e instituciones democráticas están cada vez más presentes en el panorama actual. El informe » Panorama de Amenazas a la Administración Pública 2024″ de ENISA señala un fuerte aumento de los incidentes relacionados con datos en el segundo semestre de 2024 y reconoce la creciente proporción de ransomware dirigido contra las administraciones públicas.

En el panorama de amenazas de ENISA para 2025, el phishing sigue siendo el principal método de intrusión y una técnica eficaz para robar credenciales o información bancaria. Se están implementando Modelos de Lenguaje de Gran Tamaño (LLM) para crear correos electrónicos de phishing más convincentes; según se informa, más del 80 % de todos los correos electrónicos de phishing se identificaron entre septiembre de 2024 y febrero mediante algún nivel de IA.

El19 de enero de 2026, la Comisión Europea presentó un nuevo paquete de medidas de ciberseguridad para reforzar la resiliencia y las capacidades de la UE en materia de ciberseguridad ante estas crecientes amenazas. El nuevo paquete pretende revisar el Reglamento de Ciberseguridad y adecuarlo a sus objetivos, reflejando los numerosos cambios en el panorama de amenazas desde su adopción en 2019.

Algunos datos sobre el panorama actual de amenazas cibernéticas

La siguiente figura ilustra algunas cifras y tendencias clave en ciberseguridad según la nueva hoja informativa sobre el paquete de ciberseguridad.

La siguiente figura muestra los informes de incidentes presentados por sector, comparando 2021, 2022, 2023
y 2024 como parte de los resúmenes anuales sobre informes nacionales de incidentes enviados por los Estados miembros al Grupo de Cooperación NIS (NIS CG) y descritos en el Informe anual sobre incidentes con arreglo a la Directiva NIS 2024.

El nuevo paquete de ciberseguridad: atando cabos sueltos

El paquete incluye una propuesta de reglamento revisado sobre ciberseguridad que mejorará la seguridad de las cadenas de suministro de tecnologías de la información y la comunicación (TIC) de la UE. Garantiza que los productos que llegan a los ciudadanos de la UE sean ciberseguros desde su diseño, simplificando el engorroso proceso de certificación. También facilita el cumplimiento de la normativa vigente de ciberseguridad de la UE y refuerza la Agencia de la Unión Europea para la Ciberseguridad (ENISA) para apoyar a los Estados miembros y a la UE en la lucha contra las amenazas a la ciberseguridad.

El Reglamento de Ciberseguridad revisado garantizará que los productos y servicios que llegan a los consumidores de la UE se sometan a pruebas de seguridad de forma más eficaz. Esto se logrará mediante un Marco Europeo de Certificación de la Ciberseguridad (ECCF) renovado y modificaciones a la Directiva NIS2 (el marco jurídico de la UE que refuerza las normas de ciberseguridad para proteger mejor los servicios esenciales y la infraestructura digital en toda Europa contra las ciberamenazas).

«Un escenario en el que todos ganan»: mayor seguridad, menos burocracia

Las enmiendas propuestas a la Directiva NIS 2 buscan que las normas sean más claras y fáciles de seguir. Reducirán las obligaciones de cumplimiento para unas 28.700 empresas, incluidas 6.200 microempresas y pequeñas empresas. Las enmiendas también crean una nueva categoría para pequeñas empresas de mediana capitalización, lo que reducirá los costes de cumplimiento para otras 22.500 empresas.

Hay más. Las actualizaciones propuestas al ECCF buscan garantizar que los productos y servicios de todo el mundo se sometan a pruebas de seguridad antes de llegar a los consumidores europeos. Esto implica mayor claridad, normas armonizadas y procedimientos más sencillos para el desarrollo de programas, por defecto en un plazo de 12 meses. Los cambios propuestos también contribuirán a introducir una gobernanza general más flexible y transparente para mejorar la participación de las partes interesadas mediante la información y la consulta pública.

Aumentar la seguridad en las cadenas de suministro de TIC en toda Europa: el reto que tenemos por delante

Los recientes incidentes de ciberseguridad han puesto de manifiesto las graves consecuencias de las vulnerabilidades en las cadenas de suministro de TIC. ¿El resultado? Un reconocimiento cada vez más aceptado de que, sin cadenas de suministro de TIC sólidas y seguras, los servicios, las infraestructuras e incluso los sectores críticos sufren daños costosos o se paralizan. En el panorama geopolítico actual, la seguridad de la cadena de suministro ya no se limita a la seguridad técnica de productos o servicios, sino también a los riesgos asociados a un proveedor, en particular la dependencia y la interferencia externa.

El nuevo Reglamento de Ciberseguridad tiene como objetivo reducir los riesgos en la cadena de suministro de TIC de la UE procedentes de proveedores de terceros países con problemas de ciberseguridad. Establece un marco sólido para la seguridad de la cadena de suministro de TIC basado en un enfoque armonizado, proporcionado y basado en el riesgo. Esto permitirá a la UE y a los Estados miembros identificar y mitigar conjuntamente los riesgos en sectores críticos para la economía europea, teniendo en cuenta el impacto económico y la oferta del mercado.

Lectura adicional

Comunicado de prensa, 20 de enero de 2026: La Comisión refuerza la resiliencia y la capacidad de la UE en materia de ciberseguridad.
Propuesta de Reglamento sobre el Reglamento de ciberseguridad de la UE, Comisión Europea.
Paquete de ciberseguridad: preguntas y respuestas, documento de la Comisión.
Hoja informativa: nuevo paquete de ciberseguridad (folleto de 2 páginas)
Propuesta de Directiva relativa a las medidas de simplificación y armonización con el Reglamento sobre ciberseguridad (es decir, modificaciones de la Directiva NIS 2).

Tecnología digital/especialización

http://data.europa.eu/uxp/437655

Nivel de competencias digitales

Basic

Intermediate

Advanced

Digital Expert

Tipo de iniciativa

Eu institutional initiative

URL

https://digital-strategy.ec.europa.eu/en/library/proposal-regulation-eu-cybersecurity-act

Cookie	Duración	Descripción
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

INFORMACIÓN SOBRE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
Responsable del tratamiento	ASOCIACIÓN MULTISECTORIAL DE EMPRESAS DE LA ELECTRÓNICA, LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN, DE LAS TELECOMUNICACIONES Y DE LOS CONTENIDOS DIGITALES (AMETIC). NIF: G86106630. Dirección: Príncipe de Vergara, 74, 4ª planta – 28006 Madrid. Teléfono: 915902300. Email: protecciondedatos@ametic.es
Finalidades
Finalidades	Tramitar su solicitud de alta en la Coalición lo que implicará la recepción de información relativa a la Coalición, actividades relacionadas que desarrolla AMETIC o información sobre ayudas de la Comisión Europea, así como la posibilidad de publicación de contenidos.
Legitimación y conversación	La base jurídica para el tratamiento de los datos es el consentimiento otorgado por el interesado al facilitar los datos, así como mediante la marcación de las correspondientes casillas.
Legitimación y conversación	En caso de no facilitar los datos necesarios no se podrá atender su solicitud. Los datos se conservarán mientras se mantenga le relación y no se solicite su supresión y en cualquier caso en cumplimiento de plazos legales de prescripción que le resulten de aplicación.
Destinatarios de cesiones	No se prevén cesiones de los datos.
Transferencias internacionales de datos	AMETIC puede contratar proveedores de servicios informáticos localizados en países fuera de la Unión Europea, algunos de los cuales pueden no ofrecer un nivel de protección equivalente al que existe en la Unión Europea. Esto supondría una transferencia internacional de sus datos. Podrá obtener más información sobre las transferencias internacionales en la Política de Privacidad
Derechos de los interesados	Podrá ejercitar sus derechos de acceso, rectificación, supresión, portabilidad y la limitación u oposición, así como retirar el consentimiento prestado, dirigiéndose por escrito al Departamento de Administración en las direcciones arriba indicadas. Asimismo, tiene derecho a reclamar ante la Autoridad de Control (Agencia Española de Protección de Datos www.aepd.es).

INFORMACIÓN SOBRE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
Responsable del tratamiento	ASOCIACIÓN MULTISECTORIAL DE EMPRESAS DE LA ELECTRÓNICA, LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN, DE LAS TELECOMUNICACIONES Y DE LOS CONTENIDOS DIGITALES (AMETIC). NIF: G86106630. Dirección: Príncipe de Vergara, 74, 4ª planta – 28006 Madrid. Teléfono: 915902300. Email: protecciondedatos@ametic.es
Finalidades	La recogida y tratamiento de los datos personales tiene como finalidad la gestión de sus consultas, solicitudes, reclamaciones o sugerencias.
Finalidades	En caso de que lo haya autorizado, sus datos podrán ser utilizados para enviarle por cualquier medio (electrónico o no), información sobre actividades/noticias, cursos, programas así como cualquier oferta de servicios y productos relacionados con la actividad institucional de AMETIC.
Legitimación y conversación	La base jurídica para el tratamiento de los datos es el consentimiento otorgado por el interesado al facilitar los datos, así como mediante la marcación de las correspondientes casillas.
Legitimación y conversación	En caso de no facilitar los datos necesarios no se podrá atender su solicitud. Los datos se conservarán mientras se mantenga le relación y no se solicite su supresión y en cualquier caso en cumplimiento de plazos legales de prescripción que le resulten de aplicación.
Destinatarios de cesiones	No se prevén cesiones de los datos.
Transferencias internacionales de datos	AMETIC puede contratar proveedores de servicios informáticos localizados en países fuera de la Unión Europea, algunos de los cuales pueden no ofrecer un nivel de protección equivalente al que existe en la Unión Europea. Esto supondría una transferencia internacional de sus datos. Podrá obtener más información sobre las transferencias internacionales en la Política de Privacidad
Derechos de los interesados	Podrá ejercitar sus derechos de acceso, rectificación, supresión, portabilidad y la limitación u oposición, así como retirar el consentimiento prestado, dirigiéndose por escrito al Departamento de Administración en las direcciones arriba indicadas. Asimismo, tiene derecho a reclamar ante la Autoridad de Control (Agencia Española de Protección de Datos www.aepd.es).