La Comisión Europea ha publicado el EU Action Plan on Cybersecurity and Artificial Intelligence, un documento estratégico destinado a responder al impacto que los modelos avanzados de inteligencia artificial están produciendo sobre la ciberseguridad europea. El Plan parte de una premisa clara: la inteligencia artificial constituye simultáneamente un extraordinario instrumento para reforzar la seguridad digital y un factor de incremento de los riesgos cibernéticos, al facilitar la automatización de ataques, la identificación de vulnerabilidades y el desarrollo de nuevas capacidades ofensivas.
Desde la perspectiva del Derecho mercantil, el documento merece especial atención porque consolida una tendencia que ya venía apreciándose en la regulación europea: la progresiva integración entre la gobernanza de la inteligencia artificial, la gestión de la ciberseguridad y el gobierno corporativo.
El Plan no introduce nuevas obligaciones jurídicas. Su función consiste en articular una estrategia común que permita aplicar, coordinadamente, el amplio conjunto de normas europeas ya vigentes. Entre ellas destacan el Reglamento de Inteligencia Artificial (AI Act), la Directiva NIS2, el Reglamento de Ciberresiliencia (Cyber Resilience Act), el Reglamento DORA para el sector financiero y el Cyber Solidarity Act. La Comisión pretende evitar una aplicación fragmentada de estos instrumentos y promover una respuesta coherente frente a riesgos que ya no pueden analizarse de manera aislada.
La irrupción de modelos avanzados de inteligencia artificial, especialmente los sistemas generativos y los modelos de propósito general (General Purpose AI Models), está transformando el panorama tradicional de las amenazas digitales. Frente a los mecanismos convencionales de ataque, caracterizados por una mayor dependencia del conocimiento técnico especializado y de la intervención humana, la IA permite una mayor automatización, escalabilidad y sofisticación de las operaciones maliciosas. En particular, facilita la generación automatizada de campañas de ingeniería social, la creación de contenidos fraudulentos altamente personalizados, la identificación masiva de vulnerabilidades y la adaptación dinámica de estrategias ofensivas. Frente a estos riesgos, la Comisión Europea identifica la inteligencia artificial como un instrumento susceptible de modificar el equilibrio entre las capacidades de los actores defensivos y ofensivos en el ciberespacio, y de favorecer que actores con menores recursos tecnológicos desarrollen operaciones con un nivel de complejidad anteriormente reservado a grandes organizaciones altamente especializadas.
Subraya, igualmente, la Comisión Europea el potencial transformador de la inteligencia artificial como tecnología habilitadora de una nueva generación de mecanismos de protección digital. La IA puede contribuir a reforzar la capacidad de prevención, detección, respuesta y recuperación frente a incidentes cibernéticos, elementos esenciales del concepto europeo de ciberresiliencia.
El planteamiento de la Comisión refleja, en consecuencia, un cambio de paradigma en la concepción de la seguridad digital. La cuestión ya no se limita a la protección de sistemas tecnológico frente a ataques externos, sino que exige establecer mecanismos integrales de gobernanza capaces de gestionar entornos caracterizados por una interacción constante entre tecnología, datos, infraestructuras críticas y procesos automatizados de decisión. Por eso, la ciberseguridad pasa a convertirse en un elemento estratégico vinculado a la continuidad empresarial, la protección de activos esenciales y la confianza en el mercado. Esta aproximación se inserta en la arquitectura normativa europea más amplia de regulación tecnológica. En particular, presenta una estrecha conexión con el Reglamento (UE) 2024/1689 de Inteligencia Artificial (AI Act), que incorpora la ciberseguridad como uno de los elementos esenciales del marco de gestión de riesgos aplicable a determinados sistemas de IA. Asimismo, complementa las obligaciones derivadas de la Directiva (UE) 2022/2555 (NIS2), que refuerza los deberes de seguridad de las entidades esenciales e importantes, y del Reglamento (UE) 2022/2554 sobre resiliencia operativa digital del sector financiero (DORA), que establece obligaciones específicas para la gestión del riesgo tecnológico y la dependencia de proveedores TIC.
Con el objetivo de fomentar un desarrollo y una utilización seguros de la inteligencia artificial avanzada, la Comisión Europea prevé reforzar la capacidad de la Unión para evaluar los modelos de IA antes de su comercialización o puesta en servicio en el mercado europeo, en aplicación del Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (AI Act).
Paralelamente, la Comisión colaborará con la Agencia de la Unión Europea para la Ciberseguridad (ENISA) en la elaboración de un Plan Europeo de Acceso Seguro a Sistemas Avanzados de Inteligencia Artificial orientado a reforzar la ciberseguridad. Asimismo, impulsará la creación de una plataforma europea de pruebas seguras (secure testing platform), destinada a facilitar que organizaciones pertenecientes a sectores críticos —como la energía, el transporte, la sanidad, los servicios financieros o las administraciones públicas— puedan evaluar, validar y desplegar soluciones de inteligencia artificial en condiciones que garanticen la seguridad, la resiliencia y la confianza.
Desde la perspectiva del Derecho mercantil y del gobierno corporativo, el Plan confirma una evolución: la ciberseguridad y la gobernanza de la inteligencia artificial no son ámbitos exclusivamente reservados a los departamentos técnicos para integrarse progresivamente en el ámbito de responsabilidad estratégica de los órganos de administración. La utilización de sistemas de IA, la selección de proveedores tecnológicos, la evaluación de riesgos digitales y la implantación de mecanismos adecuados de supervisión pasan a formar parte de las decisiones empresariales que pueden incidir en el cumplimiento del deber de diligencia de los administradores.
El EU Action Plan on Cybersecurity and Artificial Intelligence expresa la voluntad de la Unión Europea de construir un marco de gobernanza que permita aprovechar las capacidades defensivas de la inteligencia artificial sin ignorar su potencial disruptivo desde el punto de vista de la seguridad. La cuestión central no reside únicamente en desarrollar tecnologías más avanzadas, sino en garantizar que su incorporación al tejido económico europeo se produzca bajo principios de responsabilidad, resiliencia y control adecuado del riesgo tecnológico.
Desde el derecho comparado, esta aproximación sitúa a la Unión Europea en una posición diferenciada. Mientras que en Estados Unidos la respuesta regulatoria a la inteligencia artificial y a la ciberseguridad sigue apoyándose en gran medida en directrices sectoriales, estándares técnicos y marcos de soft law impulsados por agencias como el NIST, la Unión opta por una arquitectura normativa más integrada y vinculante. En el Reino Unido, por su parte, predomina un modelo flexible y basado en principios, con una fuerte dependencia de la autorregulación y de la supervisión sectorial. Frente a ello, el enfoque europeo combina regulación horizontal, obligaciones específicas para sectores críticos y exigencias de gobernanza corporativa, lo que refuerza la seguridad jurídica pero también eleva el nivel de exigencia para las empresas. Esta diferencia resulta especialmente relevante para los grupos de empresas multinacionales, que deberán armonizar sus políticas internas con marcos regulatorios cada vez más divergentes.
Si se amplía la comparación a otros ordenamientos, se aprecia igualmente que la Unión Europea avanza hacia un modelo más estructurado de atribución de responsabilidades. En Alemania y Francia, por ejemplo, la ciberseguridad se ha ido incorporando progresivamente al perímetro de los deberes de organización y supervisión de las sociedades, aunque todavía sin alcanzar el grado de sistematización propio de la tradición continental en otros aspectos. En Japón y Corea del Sur, la regulación combina también instrumentos públicos y estándares técnicos, pero con un mayor peso de la cooperación administrativa y de la autorregulación empresarial. En China, donde la intervención normativa es intensa, la lógica predominante responde más al control estatal de la infraestructura digital que a una integración expresa entre inteligencia artificial, resiliencia operativa y gobierno corporativo. Este contraste confirma que el modelo europeo no solo es más ambicioso desde el punto de vista regulatorio, sino también más exigente en términos de compliance societario y de gestión interna del riesgo.
El Plan se estructura sobre tres grandes ejes.
- En primer lugar, impulsa el uso seguro y responsable de la inteligencia artificial avanzada. La Comisión propone reforzar la evaluación de los modelos más potentes antes de su despliegue, fomentar mecanismos de prueba y desarrollar metodologías comunes para identificar riesgos de ciberseguridad.
- En segundo lugar, pretende fortalecer la resiliencia digital europea. Para ello, apuesta por mejorar la preparación de administraciones públicas, operadores esenciales, empresas y pequeñas y medianas empresas frente a ciberataques potenciados mediante inteligencia artificial, favoreciendo además la cooperación entre autoridades nacionales y europeas.
- El tercer eje busca desarrollar capacidades europeas propias de inteligencia artificial aplicada a la ciberseguridad. La autonomía tecnológica aparece así como un elemento esencial de la soberanía digital europea, reduciendo la dependencia de modelos desarrollados fuera de la Unión y favoreciendo un ecosistema europeo de investigación, innovación e industria.
Para el Derecho de sociedades, la principal consecuencia del Plan consiste en reforzar la consideración de la ciberseguridad y de l IA como cuestiones propias del órgano de administración. No son materias exclusivamente tecnológicas, sino elementos integrantes del deber de diligencia de los administradores, de la supervisión del sistema de control interno y de la estrategia empresarial. Esta evolución resulta coherente con la tendencia que ya se observa en NIS2 y en DORA: atribuir expresamente obligaciones y responsabilidades directas a los órganos de dirección en materia de gestión de riesgos digitales. El nuevo Plan amplía esa lógica al reconocer expresamente que la inteligencia artificial modifica la naturaleza del riesgo cibernético y exige nuevas capacidades de gobernanza. En consecuencia, la gobernanza corporativa del futuro deberá integrar, de manera coordinada, el cumplimiento normativo en materia de inteligencia artificial, la gestión de riesgos de ciberseguridad, la resiliencia operativa y la responsabilidad de los administradores.
El Plan de Acción constituye un paso más hacia ese nuevo paradigma regulatorio, caracterizado por la convergencia entre innovación tecnológica, seguridad digital y buen gobierno corporativo.
(Texto generado y editado manualmente, con apoyo (circa 10%) de la IA ).
