El plan de ciberseguridad para la IA de la UE busca autonomía estratégica

La Comisión convierte sus marcos jurídicos en capacidades operativas frente al avance de la IA. La clave es reducir la dependencia externa y acelerar la ejecución, un reto en el que España debe pasar de espectador a coautor.

Bruselas ha presentado un plan para convertir sus marcos de ciberseguridad en capacidades operativas frente al avance de la inteligencia artificial, con la autonomía estratégica como objetivo explícito.

La vicepresidenta ejecutiva Henna Virkkunen lo resumió en una frase: los modelos avanzados ‘pueden ayudarnos a protegernos, pero también pueden usarse en nuestra contra’. El diagnóstico es acertado, pero el problema histórico de Europa no está en el análisis sino en la ejecución.

El plan presentado el pasado martes por la Comisión Europea parte de una realidad incómoda: la UE dispone de un arsenal normativo —el Reglamento de IA, la directiva NIS2, el Reglamento de Ciberresiliencia, el Reglamento de Solidaridad Cibernética y una agencia, ENISA, con mandato de sobra—, pero la brecha entre legislación y capacidad operativa sigue siendo el talón de Aquiles.

Publicidad

La inteligencia artificial abre la puerta a ataques más rápidos y baratos, mientras que la defensa europea arrastra ciclos de contratación, fragmentación de mercados nacionales y calendarios administrativos que marcan un ritmo distinto al del adversario. El plan fija que la plataforma segura de pruebas de ENISA y del Centro Común de Investigación llegará a finales de 2026 y que la capacidad de evaluación estará operativa en 2027.

Virkkunen insiste en que Europa no debe depender en exclusiva de soluciones desarrolladas fuera de la Unión para tecnologías sensibles. Esa es la tesis central de la autonomía estratégica. Sin embargo, de la declaración a la inversión hay un salto que la UE aún no ha dado con éxito en los semiconductores, la nube o la computación cuántica.

Europa escribe doctrina impecable, pero ejecutarla lleva un tiempo que la ciberseguridad no concede.

Del andamiaje jurídico a la velocidad operativa

La Comisión quiere que las normas existentes se conviertan en medidas concretas antes de que termine 2026. La plataforma de pruebas segura cubrirá sectores clave: finanzas, energía, sanidad, transporte y administraciones públicas. Todos ellos, terrenos donde un ciberataque con IA puede causar un daño sistémico. ENISA, la agencia de ciberseguridad de la UE, coordinará la plataforma, pero su mandato no incluye capacidad de ejecución directa; esa seguirá en manos de los Estados.

Sin embargo, el reloj no lo marca Bruselas, sino el adversario. Mientras la UE calibra plazos, actores hostiles ya usan IA generativa para automatizar campañas de phishing y sondear vulnerabilidades. El plan acierta en el diagnóstico, pero la velocidad de ejecución sigue siendo la gran incógnita.

Autonomía estratégica: suficiente retórica, poca chequera

ENISA ciberseguridad

La Comisión reconoce que hará falta movilizar financiación privada junto a la pública. La experiencia con los proyectos importantes de interés común europeo (IPCEI) en microelectrónica o baterías demuestra que sin compra pública europea que garantice un mercado, las startups europeas luchan por escalar.

Aquí entra en juego el Gran Reto de la UE sobre IA para la ciberseguridad, una convocatoria que busca aunar investigación, industria y agencias. Si ese esfuerzo no se traduce en pedidos concretos, el plan se quedará en un buen titular, como ya ha sucedido con otras promesas de soberanía tecnológica.

Publicidad

La doctrina ya está escrita. Ahora toca poner el músculo.

El Eje del Poder Europeo

La nueva arquitectura de ciberseguridad europea se juega en un tablero donde la Comisión quiere imponer un ritmo común y los Estados miembros arrastran sus propios tiempos. La fragmentación de 27 mercados nacionales es el principal enemigo interno del plan. Países con una base industrial potente en ciberdefensa, como Francia y Alemania, pueden beneficiarse, pero también pueden frenar la integración si protegen a sus campeones nacionales.

España, que ya sufrió un reparto menguado en los fondos de defensa del programa EDIP, tiene la oportunidad de revertir ese patrón. Colocar a empresas, al CCN-CERT y al INCIBE en la plataforma de pruebas y en el Gran Reto no es un trámite técnico: es la diferencia entre escribir la norma o limitarse a acatarla. El ecosistema español de ciberseguridad, con una industria solvente y centros de competencia, merece un asiento en la mesa de diseño.

La historia reciente avisa. Cuando la UE prometió soberanía en semiconductores, los presupuestos no estuvieron a la altura de los discursos. Si el plan de ciberseguridad no viene acompañado de capital paciente y de compra pública que dé mercado a las soluciones nacidas en Europa, el resultado será otro escalón en la escalera de la dependencia externa. La frontera entre la guerra y la paz se ha desdibujado precisamente en el dominio cibernético: el sabotaje de infraestructuras críticas y la manipulación informativa son ya el arma preferida del atacante.

La Comisión se ha dado hasta 2027 para tener operativa la capacidad de evaluación. El margen es estrecho, pero la ventana de oportunidad para países como España es clara: llegar a tiempo a la foto antes de que el encuadre lo decidan otros.