La Comisión Europea  ha realizado una revisión de la situación de la ciberseguridad en la UE, incluyendo la ciberseguridad de las empresas (Comunicación COM(2025) 290)

 

Panorama general de la ciberseguridad en la Unión Europea

Las políticas y acciones  ciberseguridad en la Unión Europea estás  cada vez más condicionada por el aumento de tensiones geopolíticas y económicas: Los ciberataques se han convertido en herramientas estratégicas para el espionaje, el sabotaje y las campañas de desinformación. Los ataques dirigidos contra los Estados miembros y las instituciones europeas son constantes, representando una amenaza grave y sostenida. El ransomware sigue siendo uno de los riesgos más dañinos, cuya evolución va más allá de simplemente encriptar datos, ya que ahora se combina con la exfiltración de información sensible y con extorsión.

Las pequeñas y medianas empresas son objetivos frecuentes de los hackers. Por ejemplo,  señala la  (Comunicación COM(2025) 290), que en 2024 el sector sanitario sufrió un impacto especialmente alto: el 71 % de los incidentes que afectaron la atención al paciente estuvieron relacionados con ransomware. Aunque estos ataques aumentaron un 11 % respecto al año anterior, la presión sobre grupos como LockBit ha fragmentado el panorama, surgiendo 46 nuevos grupos de ransomware en ese mismo año.

Los ataques a la cadena de suministro también han aumentado de forma notable, conforme a lo indicado por la Comisión Europea. Los ciberdelincuentes aprovechan las vulnerabilidades de proveedores externos, especialmente cuando estos dependen de tecnologías o proveedores considerados de riesgo o sujetos a legislaciones que obligan a reportar vulnerabilidades a sus autoridades antes que al público. Además, estos criminales pueden aprovecharse de la dependencia de infraestructuras críticas para generar interrupciones de sus servicios en momentos clave. Entre otros ejemplos, indica la Comisión que los ataques a dispositivos conectados al Internet de las Cosas (IoT) crecieron un 107 % en la primera mitad de 2024.

A nivel social, la percepción pública sobre la ciberseguridad está empeorando, con una disminución de la confianza en la capacidad propia para protegerse y un bajo conocimiento de los mecanismos de denuncia de incidentes. Además, la dependencia excesiva de proveedores tecnológicos únicos y no europeos plantea riesgos considerables para la economía, como demostró la interrupción del servicio de CrowdStrike en 2024.

Otro reto estructural importante al que apunta la mencionada Comunicación es el de la escasez de talento especializado. La Unión Europea enfrenta un déficit de aproximadamente 299.000 profesionales en ciberseguridad. Para abordar este problema, la Agencia de la Unión Europea para la Ciberseguridad (ENISA) impulsa iniciativas como el Marco Europeo de Competencias en Ciberseguridad (ECSF), que busca facilitar la formación, certificación y movilidad profesional en este ámbito.

Empresas y su ciberseguridad

Explica la Comisión que en 2024, la gran mayoría de las empresas europeas con más de 10 empleados (el 92,8 %) implementaron al menos una medida básica de seguridad TIC. Sin embargo, solo un tercio de esas empresas contaba con documentación formal o realizaba evaluaciones de riesgos periódicas.

Las prácticas de ciberseguridad más habituales fueron el uso de contraseñas más o menos robustas (83,7 %) y la realización de copias de seguridad en ubicaciones separadas (79,2 %). Aun así, el 21,5 % de las empresas sufrió incidentes de seguridad con consecuencias negativas.

Conforme a la Comunicación, el presupuesto dedicado a la seguridad informática creció, llegando a representar un promedio del 9 % del total de TI, especialmente en sectores regulados por la Directiva NIS, donde la madurez en ciberseguridad es más avanzada. El sector de telecomunicaciones destaca por su nivel de preparación.

Los Estados miembros han incluido en sus Planes Nacionales unas 38 medidas para reforzar la ciberseguridad, con un presupuesto conjunto cercano a los 7.000 millones de euros, orientados a fortalecer la formación, crear centros especializados y mejorar las capacidades tanto públicas como privadas. Pero, según la Comisión Europea resulta preocupante la lenta y desigual adopción de tecnologías clave como IPv6, con una penetración superior al 40 % en países como Bélgica, Francia o Alemania, pero inferior al 10 % en otros como Croacia, Chipre o Malta. IPv6   (Internet Protocol version 6) es la versión más reciente del protocolo de Internet, que es el sistema que permite identificar y localizar dispositivos en una red —especialmente en Internet— y facilitar su comunicación

Marco legislativo y regulatorio europeo

Entre 2024 y 2025, la UE ha dado pasos importantes en su agenda legislativa y regulatoria de ciberseguridad.

• La Directiva NIS2, respecto de la cual hay obligación de transposición en octubre de 2024, establece estándares estrictos para 18 sectores críticos.
• También en octubre 2024, la Comisión Europea aprobó el primer acto delegado bajo NIS2, que detalla las medidas de gestión de riesgos y los criterios para la notificación de incidentes importantes.
• El Cyber Resilience Act ,  o Reglamento (UE) 2024/2847 del Parlamento Europeo y del Consejo de 23 de octubre de 2024 relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) n.o 168/2013 y el Reglamento (UE) 2019/1020 y la Directiva (UE) 2020/1828 (Reglamento de Ciberresiliencia)
   introduce requisitos de seguridad para productos digitales.
• En cuanto al Cyber Solidarity Act, Reglamento (UE) 2025/38 del Parlamento Europeo y del Consejo de 19 de diciembre de 2024, por el que se establecen medidas destinadas a reforzar la solidaridad y las capacidades en la Unión a fin de detectar ciberamenazas e incidentes, prepararse y responder a ellos y por el que se modifica el Reglamento (UE) 2021/694 (Reglamento de Cibersolidaridad)
  estableció un sistema europeo de alerta en ciberseguridad, así como mecanismos de respuesta rápida ante incidentes, apoyados en inteligencia artificial.
• Con el modificado Cybersecurity Act , Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo de 17 de abril de 2019 relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 («Reglamento sobre la Ciberseguridad») ,se permite la certificación de servicios gestionados de seguridad.
• Por otro lado, en enero de 2025 se adoptó un Plan de Acción para mejorar la ciberseguridad en hospitales y proveedores de salud.
• En febrero de 2025 se propuso un nuevo Cybersecurity Blueprint que integra la cooperación civil-militar y mejora la capacidad de respuesta a crisis.

Por otro lado, en el ámbito de  las tecnologías emergentes, el  desarrollo de la Infraestructura Europea de Comunicación Cuántica (EuroQCI), dentro del programa IRIS 2 (2023-2027), busca ofrecer servicios altamente seguros para el intercambio de claves criptográficas y la protección de infraestructuras críticas. En 2024, el foco estuvo en el desarrollo de redes nacionales cuánticas y la previsión de conexiones transfronterizas en 2026. La computación cuántica trasformará o desplazará la criptografía actual, por lo que la Comisión Europea recomendó (ya en 2024) que los Estados miembros preparen hojas de ruta sincronizadas para la transición a criptografía post-cuántica, especialmente en administraciones públicas e infraestructuras críticas, con objetivos a corto y medio plazo.

En esta Comunicación, la Comisión aconseja a los Estados miembros:

• Transponer la Directiva NIS2 y adoptar medidas adicionales para asegurar la implementación plena de los marcos europeos, incluyendo la caja de herramientas para seguridad 5G y restricciones a proveedores de alto riesgo.
• Fortalecer la formación y las capacidades del personal en ciberseguridad, aprovechando recursos como el Marco Europeo de Competencias.
• Elaborar, dentro del Grupo de Cooperación NIS, hojas de ruta para la transición sincronizada a criptografía post-cuántica en sectores públicos y críticos.
• Avanzar en la migración de sistemas criptográficos actuales a tecnologías post-cuánticas, con metas parciales para 2030 y finalización prevista para 2035.