Plan de Acción sobre Ciberseguridad e Inteligencia Artificial: un nuevo paso hacia la gobernanza integrada del riesgo digital

Merindades burgalesas

Merindades burgalesas

La Comisión Europea ha publicado el EU Action Plan on Cybersecurity and Artificial Intelligence, un documento estratégico destinado a responder al impacto que los modelos avanzados de inteligencia artificial están produciendo sobre la ciberseguridad europea. El Plan parte de una premisa clara: la inteligencia artificial constituye simultáneamente un extraordinario instrumento para reforzar la seguridad digital y un factor de incremento de los riesgos cibernéticos, al facilitar la automatización de ataques, la identificación de vulnerabilidades y el desarrollo de nuevas capacidades ofensivas.

Desde la perspectiva del Derecho mercantil, el documento merece especial atención porque consolida una tendencia que ya venía apreciándose en la regulación europea: la progresiva integración entre la gobernanza de la inteligencia artificial, la gestión de la ciberseguridad y el gobierno corporativo.

El Plan no introduce nuevas obligaciones jurídicas. Su función consiste en articular una estrategia común que permita aplicar, coordinadamente, el amplio conjunto de normas europeas ya vigentes. Entre ellas destacan el Reglamento de Inteligencia Artificial (AI Act), la Directiva NIS2, el Reglamento de Ciberresiliencia (Cyber Resilience Act), el Reglamento DORA para el sector financiero y el Cyber Solidarity Act. La Comisión pretende evitar una aplicación fragmentada de estos instrumentos y promover una respuesta coherente frente a riesgos que ya no pueden analizarse de manera aislada.

La irrupción de modelos avanzados de inteligencia artificial, especialmente los sistemas generativos y los modelos de propósito general (General Purpose AI Models), está transformando el panorama tradicional de las amenazas digitales. Frente a los mecanismos convencionales de ataque, caracterizados por una mayor dependencia del conocimiento técnico especializado y de la intervención humana, la IA permite una mayor automatización, escalabilidad y sofisticación de las operaciones maliciosas. En particular, facilita la generación automatizada de campañas de ingeniería social, la creación de contenidos fraudulentos altamente personalizados, la identificación masiva de vulnerabilidades y la adaptación dinámica de estrategias ofensivas. Frente a estos riesgos, la Comisión Europea identifica la inteligencia artificial como un instrumento susceptible de modificar el equilibrio entre las capacidades de los actores defensivos y ofensivos en el ciberespacio, y de favorecer que actores con menores recursos tecnológicos desarrollen operaciones con un nivel de complejidad anteriormente reservado a grandes organizaciones altamente especializadas.

Subraya, igualmente, la Comisión Europea el potencial transformador de la inteligencia artificial como tecnología habilitadora de una nueva generación de mecanismos de protección digital. La IA puede contribuir a reforzar la capacidad de prevención, detección, respuesta y recuperación frente a incidentes cibernéticos, elementos esenciales del concepto europeo de ciberresiliencia.

El planteamiento de la Comisión refleja, en consecuencia, un cambio de paradigma en la concepción de la seguridad digital. La cuestión ya no se limita a la protección de sistemas tecnológico frente a ataques externos, sino que exige establecer mecanismos integrales de gobernanza capaces de gestionar entornos caracterizados por una interacción constante entre tecnología, datos, infraestructuras críticas y procesos automatizados de decisión.  Por eso, la ciberseguridad pasa a convertirse en un elemento estratégico vinculado a la continuidad empresarial, la protección de activos esenciales y la confianza en el mercado. Esta aproximación se inserta en la arquitectura normativa europea más amplia de regulación tecnológica. En particular, presenta una estrecha conexión con el Reglamento (UE) 2024/1689 de Inteligencia Artificial (AI Act), que incorpora la ciberseguridad como uno de los elementos esenciales del marco de gestión de riesgos aplicable a determinados sistemas de IA. Asimismo, complementa las obligaciones derivadas de la Directiva (UE) 2022/2555 (NIS2), que refuerza los deberes de seguridad de las entidades esenciales e importantes, y del Reglamento (UE) 2022/2554 sobre resiliencia operativa digital del sector financiero (DORA), que establece obligaciones específicas para la gestión del riesgo tecnológico y la dependencia de proveedores TIC.

Con el objetivo de fomentar un desarrollo y una utilización seguros de la inteligencia artificial avanzada, la Comisión Europea prevé reforzar la capacidad de la Unión para evaluar los modelos de IA antes de su comercialización o puesta en servicio en el mercado europeo, en aplicación del Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (AI Act).

Paralelamente, la Comisión colaborará con la Agencia de la Unión Europea para la Ciberseguridad (ENISA) en la elaboración de un Plan Europeo de Acceso Seguro a Sistemas Avanzados de Inteligencia Artificial orientado a reforzar la ciberseguridad. Asimismo, impulsará la creación de una plataforma europea de pruebas seguras (secure testing platform), destinada a facilitar que organizaciones pertenecientes a sectores críticos —como la energía, el transporte, la sanidad, los servicios financieros o las administraciones públicas— puedan evaluar, validar y desplegar soluciones de inteligencia artificial en condiciones que garanticen la seguridad, la resiliencia y la confianza.

Desde la perspectiva del Derecho mercantil y del gobierno corporativo, el Plan confirma una evolución: la ciberseguridad y la gobernanza de la inteligencia artificial no son ámbitos exclusivamente reservados a los departamentos técnicos para integrarse progresivamente en el ámbito de responsabilidad estratégica de los órganos de administración. La utilización de sistemas de IA, la selección de proveedores tecnológicos, la evaluación de riesgos digitales y la implantación de mecanismos adecuados de supervisión pasan a formar parte de las decisiones empresariales que pueden incidir en el cumplimiento del deber de diligencia de los administradores.

El EU Action Plan on Cybersecurity and Artificial Intelligence expresa la voluntad de la Unión Europea de construir un marco de gobernanza que permita aprovechar las capacidades defensivas de la inteligencia artificial sin ignorar su potencial disruptivo desde el punto de vista de la seguridad. La cuestión central no reside únicamente en desarrollar tecnologías más avanzadas, sino en garantizar que su incorporación al tejido económico europeo se produzca bajo principios de responsabilidad, resiliencia y control adecuado del riesgo tecnológico.

Desde el derecho comparado, esta aproximación sitúa a la Unión Europea en una posición diferenciada. Mientras que en Estados Unidos la respuesta regulatoria a la inteligencia artificial y a la ciberseguridad sigue apoyándose en gran medida en directrices sectoriales, estándares técnicos y marcos de soft law impulsados por agencias como el NIST, la Unión opta por una arquitectura normativa más integrada y vinculante. En el Reino Unido, por su parte, predomina un modelo flexible y basado en principios, con una fuerte dependencia de la autorregulación y de la supervisión sectorial. Frente a ello, el enfoque europeo combina regulación horizontal, obligaciones específicas para sectores críticos y exigencias de gobernanza corporativa, lo que refuerza la seguridad jurídica pero también eleva el nivel de exigencia para las empresas. Esta diferencia resulta especialmente relevante para los grupos de empresas multinacionales, que deberán armonizar sus políticas internas con marcos regulatorios cada vez más divergentes.

Si se amplía la comparación a otros ordenamientos, se aprecia igualmente que la Unión Europea avanza hacia un modelo más estructurado de atribución de responsabilidades. En Alemania y Francia, por ejemplo, la ciberseguridad se ha ido incorporando progresivamente al perímetro de los deberes de organización y supervisión de las sociedades, aunque todavía sin alcanzar el grado de sistematización propio de la tradición continental en otros aspectos. En Japón y Corea del Sur, la regulación combina también instrumentos públicos y estándares técnicos, pero con un mayor peso de la cooperación administrativa y de la autorregulación empresarial. En China, donde la intervención normativa es intensa, la lógica predominante responde más al control estatal de la infraestructura digital que a una integración expresa entre inteligencia artificial, resiliencia operativa y gobierno corporativo. Este contraste confirma que el modelo europeo no solo es más ambicioso desde el punto de vista regulatorio, sino también más exigente en términos de compliance societario y de gestión interna del riesgo.

El Plan se estructura sobre tres grandes ejes.

  • En primer lugar, impulsa el uso seguro y responsable de la inteligencia artificial avanzada. La Comisión propone reforzar la evaluación de los modelos más potentes antes de su despliegue, fomentar mecanismos de prueba y desarrollar metodologías comunes para identificar riesgos de ciberseguridad.
  • En segundo lugar, pretende fortalecer la resiliencia digital europea. Para ello, apuesta por mejorar la preparación de administraciones públicas, operadores esenciales, empresas y pequeñas y medianas empresas frente a ciberataques potenciados mediante inteligencia artificial, favoreciendo además la cooperación entre autoridades nacionales y europeas.
  • El tercer eje busca desarrollar capacidades europeas propias de inteligencia artificial aplicada a la ciberseguridad. La autonomía tecnológica aparece así como un elemento esencial de la soberanía digital europea, reduciendo la dependencia de modelos desarrollados fuera de la Unión y favoreciendo un ecosistema europeo de investigación, innovación e industria.

Para el Derecho de sociedades, la principal consecuencia del Plan consiste en reforzar la consideración de la ciberseguridad y de l IA como cuestiones propias del órgano de administración. No son materias exclusivamente tecnológicas, sino elementos integrantes del deber de diligencia de los administradores, de la supervisión del sistema de control interno y de la estrategia empresarial. Esta evolución resulta coherente con la tendencia que ya se observa en  NIS2 y en DORA: atribuir expresamente obligaciones y  responsabilidades directas a los órganos de dirección en materia de gestión de riesgos digitales. El nuevo Plan amplía esa lógica al reconocer expresamente que la inteligencia artificial modifica la naturaleza del riesgo cibernético y exige nuevas capacidades de gobernanza. En consecuencia, la gobernanza corporativa del futuro deberá integrar, de manera coordinada, el cumplimiento normativo en materia de inteligencia artificial, la gestión de riesgos de ciberseguridad, la resiliencia operativa y la responsabilidad de los administradores.

El Plan de Acción constituye un paso más hacia ese nuevo paradigma regulatorio, caracterizado por la convergencia entre innovación tecnológica, seguridad digital y buen gobierno corporativo.

(Texto generado y editado manualmente, con  apoyo (circa 10%) de la IA ).

 

La Unión Europea crea el CSC-EDIC: un nuevo consorcio para formar el talento europeo en ciberseguridad

La Comisión Europea ha aprobado la Decisión de Ejecución (UE) 2026/1416, de 30 de junio de 2026, mediante la que se constituye el European Digital Infrastructure Consortium for the Cybersecurity Skills Coalition (CSC-EDIC): un paso relevante en la consolidación de la política europea de ciberseguridad.

strolling along the shore

Los European Digital Infrastructure Consortia (EDIC) son una figura jurídica creada por la Decisión (UE) 2022/2481 sobre la Década Digital. Su finalidad, en general, consiste en permitir que varios Estados miembros desarrollen conjuntamente proyectos estratégicos de infraestructura digital, dotándolos de personalidad jurídica propia y de un marco estable de financiación y gobernanza.

En el caso del CSC-EDIC, el nuevo consorcio estará dedicado exclusivamente al desarrollo de capacidades en materia de ciberseguridad. La Comisión reconoce así, como base material de su decisión, que la falta de talento constituye una vulnerabilidad estructural para la competitividad y la resiliencia europea. Por ello, junto a la regulación material, comienza a construirse una verdadera infraestructura institucional destinada a generar capacidades.  Este CSC-EDIC en concreto ha sido impulsado inicialmente por Grecia, Austria, Croacia, Chipre y Eslovenia, siendo Grecia el Estado anfitrión. Su sede se ubicará en Atenas y el consorcio tendrá una duración inicial de diez años, prorrogable.Como ocurre con otros EDIC, podrán incorporarse posteriormente nuevos Estados miembros

La misión de este consorcio es reducir el déficit europeo de talento en ciberseguridad. La Comisión identifica como principal objetivo del CSC-EDIC afrontar la creciente escasez de profesionales especializados en ciberseguridad. Para ello, desarrollará actuaciones dirigidas a: impulsar la formación especializada; facilitar el reciclaje profesional (reskilling y upskilling); mejorar las competencias del sector público y privado; apoyar a las pequeñas y medianas empresas; – contribuir a la aplicación práctica de la normativa europea en materia de ciberseguridad. No se trata únicamente de formar expertos técnicos. La Comisión conecta expresamente este proyecto con la necesidad de garantizar el cumplimiento efectivo del creciente conjunto de normas europeas en materia digital.

La decisión prevé que el CSC-EDIC trabaje de forma coordinada con – la Agencia de la Unión Europea para la Ciberseguridad (ENISA); y con el Centro Europeo de Competencia en Ciberseguridad (ECCC). Asimismo, utilizará herramientas ya desarrolladas por ENISA, en particular el European Cybersecurity Skills Framework, evitando duplicidades y reforzando la coherencia del ecosistema europeo.

El CSC‑EDIC apoyará la consecución de los objetivos establecidos en la Comunicación de la Comisión de 18 de abril de 2023, titulada «Colmar la brecha de talento en materia de ciberseguridad para impulsar la competitividad, el crecimiento y la resiliencia de la UE» [COM(2023) 207 final], orientados a mejorar las capacidades de educación, formación y desarrollo de la mano de obra de la Unión en materia de ciberseguridad. Para el desempeño de esta tarea principal, el CSC‑EDIC abordará el creciente déficit de competencias en ciberseguridad y promoverá el desarrollo de capacidades entre las autoridades públicas, la industria y las pequeñas y medianas empresas de los Estados miembros, reforzando así la competitividad, el crecimiento y la resiliencia de la Unión.

Con el fin de alcanzar estos objetivos, el CSC-EDIC desarrollará una actuación dinámica orientada a reforzar la cualificación y el reciclaje profesional de los especialistas en ciberseguridad, adaptando la oferta de capacidades a las necesidades del mercado de trabajo, a los déficits de competencias identificados y a las exigencias de cumplimiento normativo de las industrias de la Unión y de las administraciones nacionales. Asimismo, apoyará la aplicación efectiva de los instrumentos jurídicos europeos en materia de ciberseguridad y favorecerá su implantación práctica, en coherencia con la iniciativa de la «Unión de las Competencias» (Union of Skills), presentada por la Comisión Europea en su Comunicación de 5 de marzo de 2025. Esta estrategia persigue dotar a los ciudadanos de la Unión de las capacidades necesarias para afrontar con éxito tanto su formación como su trayectoria profesional, promover el reconocimiento y aprovechamiento de dichas competencias en el conjunto de los Estados miembros, corregir los desequilibrios de género y facilitar a las empresas el acceso al capital humano especializado que requieren, reforzando así la competitividad y la inclusión en el mercado europeo.

Esta orientación refleja una evolución significativa de la política europea de ciberseguridad. Durante la última década, la actuación de la Unión se ha centrado principalmente en la adopción de un marco regulatorio cada vez más exigente, integrado, entre otros instrumentos, por la Directiva NIS2, el Reglamento de Ciberresiliencia (Cyber Resilience Act), el Reglamento DORA y el Reglamento de Inteligencia Artificial. Sin embargo, la efectividad de este conjunto normativo depende, en gran medida, de la existencia de profesionales suficientemente cualificados para aplicarlo e integrarlo en la gestión de las organizaciones. En consecuencia, la política europea evoluciona desde un modelo basado esencialmente en la imposición de obligaciones jurídicas hacia otro más amplio, en el que la regulación se complementa con mecanismos de coordinación institucional, financiación, desarrollo de capacidades e infraestructuras comunes destinadas a garantizar una aplicación efectiva y homogénea del marco normativo europeo.

 

 

Reformas en las infraestructuras europeas de pagos, TARGET

La Orientación (UE) 2026/1473 del Banco Central Europeo, que modifica la Orientación (UE) 2022/912 sobre el sistema TARGET, representa un nuevo paso en la transformación de las infraestructuras financieras europeas hacia un modelo caracterizado por la automatización, la interoperabilidad y la resiliencia operacional.

TARGET constituye la principal infraestructura del Eurosistema para la liquidación bruta en tiempo real y el funcionamiento de los pagos instantáneos mediante TIPS (TARGET Instant Payment Settlement), esencial para la estabilidad financiera europea. El objetivo principal de esta reforma es adaptar los servicios de liquidación, incluyendo la incorporación del esquema de transferencias inmediatas One-Leg Out del Consejo Europeo de Pagos y la habilitación de envío de flujos de liquidez para los bancos centrales.

La nueva Orientación persigue tres grandes objetivos que reflejan que estamos ante una evolución en el diseño institucional de una infraestructura crítica:

  • incorporar nuevas funcionalidades para los pagos instantáneos;
  • optimizar la gestión automática de la liquidez de las entidades participantes;
  • reforzar determinados mecanismos de gobernanza y gestión del riesgo dentro del sistema.

La automatización de la liquidez

Una de las novedades más relevantes consiste en la introducción de traspasos automáticos de liquidez basados en reglas («rule-based liquidity transfers«).

Las entidades podrán fijar umbrales mínimos y máximos en sus cuentas TIPS. Cuando el saldo supere o descienda de esos límites, el propio sistema ejecutará automáticamente movimientos de liquidez entre cuentas, evitando intervenciones manuales y mejorando la eficiencia operativa. Esta funcionalidad estará operativa en verano de 2026. Con este nuevo instrumento, determinadas decisiones tradicionalmente adoptadas por operadores humanos pasan a integrarse directamente en la arquitectura normativa del sistema.

Pagos instantáneos internacionales

Otra modificación importante prepara TARGET para operar con el Esquema SEPA One-Leg Out (OCT Inst), que permitirá procesar determinados pagos instantáneos cuando una de las entidades participantes se encuentre fuera del espacio SEPA tradicional.

La Orientación adapta las condiciones de participación, los requisitos de adhesión y los procedimientos técnicos para hacer posible esta interoperabilidad a partir del 14 de noviembre de 2026. Se trata de un paso relevante hacia la internacionalización de los pagos instantáneos europeos.

Nuevos criterios de gestión del riesgo

La reforma también introduce modificaciones menos visibles pero especialmente significativas desde el punto de vista jurídico. Entre ellas destacan  algunas, por su impacto en reducir la discrecionalidad, reforzar la seguridad jurídica y aumentar la resiliencia del sistema:

Pisa di notte

  • – la clarificación de las condiciones de acceso de entidades sujetas a medidas restrictivas o sanciones internacionales;
  • – una mayor precisión sobre los efectos de la suspensión o finalización de la participación en TARGET;
  • – la actualización de los activos de garantía aplicables a las operaciones de crédito intradía conforme al nuevo marco del Eurosistema;
  • – la revisión de determinadas estructuras tarifarias aplicables a las cuentas RTGS.

Infraestructuras críticas y gobernanza

Quizá el aspecto más interesante de esta reforma sea el cambio de paradigma que refleja. Las infraestructuras financieras dejan de ser simples plataformas de liquidación para convertirse en auténticos sistemas de gobernanza automatizada. Las reglas jurídicas ya no solo determinan quién puede participar o qué obligaciones existen, sino que se incorporan directamente al funcionamiento del software que ejecuta las operaciones. La liquidez, los límites operativos, las autorizaciones y las condiciones de acceso pasan a gestionarse mediante reglas predefinidas que el propio sistema aplica automáticamente.

Este fenómeno confirma una tendencia cada vez más visible en el Derecho financiero europeo: la regulación se proyecta sobre la arquitectura tecnológica de las infraestructuras críticas, convirtiendo el diseño del sistema en un auténtico instrumento de política regulatoria.

La modificación de TARGET ilustra perfectamente cómo las infraestructuras digitales críticas se están convirtiendo en espacios donde convergen el Derecho, la tecnología y la estabilidad financiera.

Este tipo de normas muestran que la resiliencia ya no depende únicamente de obligaciones jurídicas impuestas a los operadores, sino también del diseño de las propias arquitecturas técnicas que ejecutan automáticamente dichas obligaciones. Por tanto, la transformación digital del sistema financiero europeo no consiste únicamente en acelerar los pagos, sino en rediseñar las reglas de funcionamiento de una de las infraestructuras esenciales sobre las que descansa el mercado interior.

EU inc, ¿una nueva forma de organización jurídica de las empresas europeas?

Aproximadamente una quinta parte de la producción científica mundial tiene su origen en instituciones y centros de investigación situados en los Estados miembros. Ello se complementa con una contribución significativa del tejido empresarial europeo al desarrollo global de la investigación y desarrollo (I+D) y a la generación de activos de propiedad intelectual e industrial, que constituyen uno de los principales indicadores de competitividad tecnológica. Aún queda mucho por avanzar , de ahí la Comunicación de la Comisión que da título a esta entrada.

La Comunicación de la Comunicación COM(2026) 320 final, titulada “Hacia un 28.º régimen para las empresas de la UE” es una pieza central de la Comisión Europea para reforzar la competitividad empresarial y la integración efectiva del mercado interior mediante la creación de un marco societario opcional de dimensión plenamente europea orientado especialmente a las empresas con vocación innovadora.  Configura la EU Inc. como un instrumento jurídico orientado a reducir la fragmentación normativa del mercado interior y a facilitar el desarrollo de empresas innovadoras en un entorno económico globalizado y digitalizado. Su relevancia no reside únicamente en la introducción de una nueva forma societaria, sino en la articulación de un conjunto integrado de reformas institucionales, tecnológicas y financieras destinadas a reforzar la competitividad europea y a consolidar un espacio empresarial verdaderamente único dentro de la Unión.

La iniciativa se inscribe en la lógica histórica de los instrumentos societarios supranacionales —como la sociedad europea o la sociedad cooperativa europea—, pero pretende ir más allá de estos precedentes mediante el diseño de una forma jurídica concebida desde su origen para el entorno digital y para los modelos de negocio innovadores. En este contexto, la propuesta introduce el concepto de EU Inc. como una nueva forma societaria europea, caracterizada por su simplicidad estructural, su portabilidad transfronteriza y su orientación a empresas de rápido crecimiento, particularmente en sectores tecnológicos, digitales o intensivos en conocimiento.

El objetivo fundamental de esta iniciativa consiste en ofrecer a los operadores económicos una forma jurídica única, accesible y homogénea en todo el territorio de la Unión, que permita constituir y gestionar una empresa con independencia del Estado miembro en el que se desarrolle la actividad principal. Para ello, la Comunicación plantea la creación de un sistema de constitución íntegramente digital, basado en un registro central europeo, que permitiría formalizar la constitución de la sociedad en un plazo muy breve —expresado simbólicamente en la meta de 48 horas— y con costes administrativos reducidos. Esta simplificación se articula, además, en torno a la aplicación reforzada del principio de “solo una vez”, de modo que la información empresarial aportada a una autoridad pública no deba volver a presentarse ante otras autoridades, lo que reduce sustancialmente las cargas burocráticas y los costes de transacción asociados al establecimiento y funcionamiento de empresas en el mercado interior. En términos sistemáticos, la propuesta persigue así reforzar la libertad de establecimiento y la eficiencia administrativa mediante herramientas jurídicas y tecnológicas que faciliten la movilidad empresarial y la escalabilidad de los modelos de negocio.

Aunque formalmente abierta a cualquier empresa, la Comunicación subraya que su diseño responde principalmente a las necesidades de startups y scale-ups, especialmente aquellas que operan en entornos digitales o que requieren financiación rápida y flexible. En coherencia con esta orientación, el modelo prevé la digitalización integral de los procesos societarios, incluyendo no solo la constitución, sino también el gobierno corporativo, la adopción de acuerdos sociales y la transmisión de participaciones. La eliminación de intermediarios obligatorios en determinadas operaciones y la incorporación de instrumentos contractuales estandarizados —como los acuerdos de financiación simplificados utilizados en el ecosistema emprendedor— reflejan la voluntad de adaptar el Derecho societario europeo a las prácticas habituales de los mercados de capital riesgo y de innovación.

 

La Comunicación vincula esta nueva forma societaria a un conjunto de medidas complementarias destinadas a mejorar el entorno jurídico y económico de las empresas innovadoras. Entre ellas destaca la creación de un programa europeo de opciones sobre acciones para empleados (EU-ESO), concebido como un mecanismo de incentivo laboral que permite alinear los intereses de los trabajadores con los de la empresa mediante la participación en el capital social. La propuesta contempla, en este ámbito, un tratamiento fiscal específico que difiere la tributación hasta el momento de la realización efectiva de las ganancias, con el fin de evitar cargas fiscales prematuras que puedan desincentivar la participación en este tipo de planes. Asimismo, se prevé la introducción de procedimientos de insolvencia simplificados para empresas innovadoras que adopten esta forma societaria, en coherencia con las iniciativas de armonización europea en materia concursal y con la tendencia general a favorecer la reestructuración temprana y la continuidad empresarial.

 

La iniciativa se inserta, además, en una agenda más amplia orientada a consolidar un ecosistema europeo favorable a la innovación y al crecimiento empresarial. En este sentido, la Comunicación anuncia la adopción de una Recomendación destinada a establecer definiciones armonizadas de conceptos como empresa innovadora, startup innovadora o empresa en expansión innovadora, con el objetivo de asegurar una mayor coherencia en las políticas públicas de apoyo, en los programas de financiación y en la recopilación de datos estadísticos a escala europea. Esta homogeneización conceptual responde a la necesidad de evitar la fragmentación normativa y administrativa que, en la práctica, dificulta la comparabilidad de medidas y la coordinación de instrumentos de política económica entre los Estados miembros.

La Comunicación identifica cuatro ámbitos de actuación complementarios que configuran el entorno operativo de la futura EU Inc.

Zarzas y lila

  • En primer lugar, en materia de digitalización, se prevé el desarrollo de herramientas como la cartera europea para empresas y la utilización de sistemas de intercambio automático de información administrativa, apoyados en tecnologías de inteligencia artificial que permitan, por ejemplo, la traducción automática de documentos societarios y contractuales, reduciendo la dependencia de traducciones juradas y los costes asociados a la actividad transfronteriza.
  • En segundo lugar, en el ámbito financiero, la iniciativa se vincula al proceso de profundización de la Unión de Ahorros e Inversiones, mediante la revisión de los instrumentos de financiación empresarial y el fortalecimiento de los mercados de capital riesgo.
  • En tercer lugar, se contemplan medidas destinadas a facilitar la movilidad del talento y el trabajo transfronterizo, incluyendo la digitalización de los sistemas de seguridad social y la simplificación de los procedimientos migratorios para trabajadores altamente cualificados.
  • Finalmente, en materia fiscal, la Comunicación apunta hacia la construcción progresiva de un marco más coherente de imposición sobre sociedades, con reglas que favorezcan la neutralidad fiscal y la movilidad empresarial dentro del mercado interior.

En su dimensión institucional, la Comunicación subraya la importancia de garantizar un marco jurídico claro, coherente y previsible que proporcione seguridad jurídica a los operadores económicos y a los inversores. Para ello, se invita a los Estados miembros a considerar la especialización de órganos jurisdiccionales en materia mercantil y societaria, así como a aprovechar los instrumentos existentes en el ámbito de la cooperación judicial civil y mercantil, en particular los mecanismos de competencia judicial internacional y reconocimiento de resoluciones previstos en el Reglamento (UE) n.º 1215/2012. Esta referencia pone de relieve que la eficacia de una forma societaria europea no depende únicamente de su diseño normativo, sino también de la existencia de un sistema judicial capaz de ofrecer soluciones rápidas y coherentes a los conflictos transfronterizos.

 

TJUE, sentencia de 19 de marzo de 2026, C‑526/24, Brillen Rottler: abuso del derecho de acceso a los propios datos personales (art. 15 RGPD)

Comentario a la Sentencia del Tribunal de Justicia en el asunto C-526/24 Brillen Rottler: Una solicitud de acceso a los propios datos personales puede considerarse abusiva y denegarse si se presenta con el único fin de solicitar posteriormente una indemnización por una supuesta infracción del RGPD

El conflicto se origina cuando TC, residente en Austria, se suscribe en marzo de 2023 al boletín informativo de Brillen Rottler GmbH & Co. KG, óptica familiar establecida en Alemania, facilitando sus datos personales a través del formulario web. Poco después, ejerce ante la empresa su derecho de acceso previsto en el artículo 15 RGPD.

Brillen Rottler deniega la solicitud dentro del plazo de un mes, calificándola de “excesiva” en el sentido del artículo 12.5 RGPD, y el interesado mantiene su petición y añade una reclamación indemnizatoria de 1.000 euros al amparo del artículo 82 RGPD por daño inmaterial. El Amtsgericht Arnsberg plantea varias cuestiones prejudiciales sobre:

  • si incluso una primera solicitud de acceso puede ser “excesiva/abusiva” y, por tanto, denegarse;

  • si cabe indemnización por vulneración del derecho de acceso aunque no exista un tratamiento ilícito de datos como tal;

  • y cómo se configura el daño inmaterial indemnizable.

Cuestiones jurídicas planteadas

Las cuestiones centrales se refieren a la interpretación de los artículos 12.5, 15.1 y 82.1 RGPD:

  • Alcance de la cláusula que permite al responsable negase a actuar cuando las solicitudes sean “manifiestamente infundadas o excesivas” (art. 12.5).

  • Posibilidad de considerar “excesiva” una primera solicitud, pese a que el precepto menciona la repetición como ejemplo típico.

  • Configuración del derecho a indemnización por vulneración del derecho de acceso, incluso si la infracción se concreta en una negativa a tramitar la solicitud.

  • Determinación de si la pérdida de control sobre los datos o la incertidumbre sobre su tratamiento puede constituir daño inmaterial indemnizable.

Estas cuestiones sitúan el caso en la intersección entre la amplitud del derecho de acceso y el principio de prohibición del abuso del derecho en el marco del Derecho de la Unión.

Razonamiento del TJUE sobre el carácter “excesivo/abusivo”

El Tribunal declara que el artículo 12.5 RGPD permite considerar “excesiva” incluso una primera solicitud de acceso, siempre que concurran criterios estrictos, habida cuenta de que se trata de una excepción al derecho de acceso que debe interpretarse de forma restrictiva.

El TJUE fija los siguientes elementos:

  • El carácter repetitivo de las solicitudes es un indicio, pero no un requisito necesario; la “primera” solicitud puede ser excesiva si se acredita abuso.

  • La carga de la prueba recae sobre el responsable del tratamiento, que debe demostrar, a la vista de todas las circunstancias, que la solicitud no se presentó para conocer el tratamiento ni verificar su licitud, sino con intención abusiva, en particular para crear artificialmente las condiciones necesarias para reclamar una indemnización.

  • El Tribunal admite que el patrón de conducta del interesado (suscripciones sucesivas, solicitudes de acceso y reclamaciones indemnizatorias frente a distintos responsables) puede constituir un indicador relevante de ese uso instrumental del derecho.

Con ello, el TJUE no convierte el carácter económico de la pretensión en ilegítimo per se, pero sí exige que el ejercicio del derecho de acceso mantenga un vínculo real con su finalidad propia: permitir al interesado conocer y controlar el tratamiento de sus datos personales.

Derecho a indemnización y daño inmaterial

En relación con el artículo 82.1 RGPD, el Tribunal declara que confiere al interesado un derecho a indemnización por los daños y perjuicios resultantes de una vulneración del derecho de acceso del artículo 15.1, aunque esa vulneración consista en la negativa a dar curso a una solicitud, y no en un tratamiento ilícito de datos en sentido estricto.

El TJUE subraya que:

  • El tenor del artículo 82.1 no limita el derecho a indemnización a daños derivados de un “tratamiento” como tal, de modo que excluir las infracciones de los derechos del capítulo III vaciaría de efecto útil la norma.

  • El daño inmaterial puede incluir la pérdida de control sobre los datos personales o la incertidumbre acerca de si estos han sido objeto de tratamiento.

  • No toda infracción del RGPD genera automáticamente derecho a indemnización: el interesado debe probar tres requisitos acumulativos: infracción del RGPD, existencia de un daño efectivo (material o inmaterial) y nexo de causalidad entre ambos.

  • No procede indemnización cuando la pérdida de control o la incertidumbre se deben precisamente a la conducta del propio interesado, que decide someter sus datos al responsable con el fin de crear artificialmente las condiciones para obtener una compensación.

Corresponde al órgano jurisdiccional nacional apreciar, sobre la base de estos criterios, si en el caso concreto concurren abuso y daño indemnizable.

Relevancia práctica

La sentencia ofrece claridad operativa a responsables del tratamiento y autoridades de control:

  • Legitima la posibilidad de denegar solicitudes de acceso abusivas, incluso si son las primeras, siempre que se motive la decisión y se pueda acreditar el uso instrumental del derecho.

  • Refuerza la idea de que el artículo 12.5 RGPD actúa como “válvula de seguridad” frente a estrategias de litigación sistemática basadas en el mero cumplimiento formal de los requisitos del derecho de acceso.

  • Al mismo tiempo, subraya que el derecho a indemnización del artículo 82 no se vacía: se extiende a la vulneración del derecho de acceso, pero exige una prueba rigurosa del daño y de su causalidad, evitando una automatización de la compensación.

Para la práctica de cumplimiento, la sentencia impone a los responsables la necesidad de documentar los indicios de abuso, revisar patrones de conducta del interesado y articular políticas internas sobre tratamiento de solicitudes sospechosas, sin trivializar el estándar probatorio exigido por el TJUE.

Encaje en la doctrina general del abuso del derecho en la UE

Brillen Rottler se inserta en la jurisprudencia que reconoce el abuso del derecho como principio general del Derecho de la Unión, aplicable transversalmente cuando un derecho conferido por una norma de la UE se ejerce de forma contraria a su objeto y finalidad.

De esa doctrina general, el TJUE retoma la construcción clásica en torno a dos elementos:

  • Elemento objetivo: pese al respeto formal de los requisitos legales, el ejercicio del derecho persigue obtener una ventaja contraria al propósito de la norma, aquí, convertir el derecho de acceso en un mero instrumento para generar litigios indemnizatorios.

  • Elemento subjetivo: existencia de una intención de obtener de modo artificioso esa ventaja, que en este caso puede inferirse de un patrón de suscripciones, solicitudes y reclamaciones repetidas frente a distintos responsables.

La aportación específica de Brillen Rottler consiste en trasladar esta lógica al régimen de los derechos del interesado del RGPD, reafirmando que dichos derechos no son absolutos ni están al margen del principio de buena fe en su ejercicio. La sentencia no recorta el contenido esencial del derecho de acceso, pero sí excluye de su ámbito de protección las conductas estratégicas destinadas a construir artificialmente un escenario indemnizatorio.

En conclusión, el TJUE: admite que una primera solicitud de acceso pueda ser considerada “excesiva” y, por tanto, denegada, cuando se pruebe su carácter abusivo (art. 12.5 y 15 RGPD); reconoce que la vulneración del derecho de acceso puede generar derecho a indemnización (art. 82), incluso sin tratamiento ilícito, pero supedita ese derecho a la acreditación de un daño real y de la ausencia de una auto-creación artificiosa de ese daño; y consolida la integración del principio de abuso del derecho en el ámbito de la protección de datos, configurando el RGPD como un sistema de garantías robustas, pero no disponible para usos meramente instrumentales.

Esquemas Europeos de Certificación de Ciberseguridad- ENISA_

Los esquemas europeos de certificación de ciberseguridad que impulsa la Agencia de la Unión Europea para la Ciberseguridad (ENISA) son una pieza central del nuevo Derecho de la economía digital en la Unión Europea (UE). No son solo “sellos técnicos”: son instrumentos híbridos, a medio camino entre la normalización técnica y la regulación, que condicionan de forma creciente la contratación, la supervisión sectorial y la responsabilidad de empresas y administraciones públicas.

1. Del mosaico nacional al marco europeo: el Reglamento de Ciberseguridad (Cybersecurity Act)

Mongolfiera

El punto de partida es el Reglamento (UE) 2019/881, conocido como Reglamento de Ciberseguridad (Cybersecurity Act), que hizo de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) una auténtica agencia permanente de ciberseguridad y estableció un marco europeo de certificación de ciberseguridad. Hasta su aprobación, el paisaje europeo era un mosaico de esquemas nacionales, acuerdos como el Acuerdo de Reconocimiento Mutuo Senior Officials Group Information Systems Security (SOG‑IS MRA) y sellos privados difícilmente comparables entre sí. Cada Estado miembro podía exigir o promover sus propios certificados,

El Reglamento de Ciberseguridad (Cybersecurity Act) pretende resolver este problema mediante nuevos procedimientos que permiten que la Comisión Europea, con apoyo técnico de la  ENISA adopte esquemas europeos de certificación de ciberseguridad aplicables a productos, servicios o procesos de tecnologías de la información y la comunicación (TIC). Una vez adoptado un esquema, los certificados emitidos conforme al mismo deben ser reconocidos en todos los Estados miembros, lo que crea un mercado único de certificación y evita duplicidades de pruebas y acreditaciones.

Cada esquema define su ámbito (por ejemplo, productos de tecnologías de la información y la comunicación, servicios de computación en la nube, redes de comunicaciones móviles de quinta generación) y los niveles de aseguramiento (básico, sustancial, alto) con un conjunto de requisitos de seguridad asociados a cada nivel. También determina qué organismos pueden evaluar y certificar (organismos de certificación acreditados, laboratorios) y qué normas de acreditación se aplican (por ejemplo, la norma ISO/IEC  que se designe. El resultado es una arquitectura en la que el legislador europeo fija el marco y los objetivos, y el detalle técnico se construye sobre la base de estándares internacionales y prácticas de evaluación consolidadas.

En principio, la certificación bajo estos esquemas es voluntaria. Sin embargo, el Reglamento prevé que un producto o servicio certificado goce de una presunción de conformidad con los requisitos del esquema, lo que tiene consecuencias muy concretas: puede servir de referencia en licitaciones, ser exigido por reguladores sectoriales o convertirse en estándar de diligencia debida en determinados mercados. De facto, lo que empieza como “voluntario” tiende a convertirse en requisito de mercado o en criterio de supervisión

2. Esquema Europeo de Certificación de Ciberseguridad basado en Common Criteria (EUCC)

Catedral León. Roset
on

El primer esquema adoptado formalmente bajo el Reglamento de Ciberseguridad es el Esquema Europeo de Certificación de Ciberseguridad basado en Common Criteria (EUCC). Su objetivo es unificar a escala europea la certificación de productos de tecnologías de la información y la comunicación que se evaluaban tradicionalmente conforme al estándar internacional Common Criteria (CC), como tarjetas inteligentes, módulos criptográficos, sistemas operativos embebidos o ciertos elementos de infraestructuras de confianza (identidad electrónica, servicios de confianza de firma electrónica).

Antes de este EUCC, estos productos se certificaban en el marco de esquemas nacionales coordinados parcialmente por el Acuerdo de Reconocimiento Mutuo Senior Officials Group Information Systems Security (SOG‑IS MRA), que ahora se ve progresivamente sustituido por un esquema europeo único. El Esquema Europeo de Certificación de Ciberseguridad basado en Common Criteria (EUCC) recoge ese legado, actualiza los requisitos y establece un marco común de evaluación que

  • Define qué categorías de productos pueden certificarse y bajo qué perfiles de protección u objetivos de seguridad.

  • Establece niveles de aseguramiento y requisitos de evaluación asociados a Common Criteria (CC), adaptados al entorno europeo

  • Requiere que los organismos de certificación y los laboratorios estén acreditados conforme a normas armonizadas, garantizando un nivel comparable de calidad en las evaluaciones.

Para juristas y reguladores, EUCC es relevante porque permite a la norma sectorial (por ejemplo, en identidad electrónica, servicios de confianza, sistemas de pago o infraestructuras críticas) remitir a un referente técnico común, en lugar de citar múltiples esquemas nacionales. Además, puede servir de criterio de diligencia: un operador que elige componentes certificados al amparo del EUCC con un nivel de aseguramiento alto podría alegar haber tomado medidas razonables de seguridad; a la inversa, la ausencia de certificación podría ser un indicio de falta de diligencia en determinados contextos. Finalmente, la existencia de un registro europeo de certificados facilita la transparencia y el control para supervisores y contrapartes contractuales.

3. Esquema Europeo de Certificación de Ciberseguridad para Servicios en la Nube (EUCS)

El Esquema Europeo de Certificación de Ciberseguridad para Servicios en la Nube (EUCS) es el gran proyecto en materia de certificación de servicios de computación en la nube, todavía en fase de candidatura y consulta pública, pero ya bien definido en sus líneas maestras. Su razón de ser es evidente: hoy los servicios de computación en la nube son infraestructura básica para entidades financieras, aseguradoras, plataformas de negociación, administraciones públicas, sistemas sanitarios, etc., pero los requisitos de seguridad que se les exigen están fragmentados entre normas nacionales, guías de supervisores y esquemas privados.

Museo San Matteo. Pisa

El EUCS aspira a convertirse en el lenguaje común europeo para estos servicios. Define categorías de servicios (infraestructura como servicio, plataforma como servicio, software como servicio) y niveles de aseguramiento (básico, sustancial, alto), con un conjunto de requisitos asociados a cada nivel. Entre esos requisitos se incluyen controles sobre: Gestión de identidades y accesos, autenticación robusta y segregación de funciones; cifrado en tránsito y en reposo, gestión de claves, registros de actividad y monitorización;continuidad de negocio, recuperación ante desastres y gestión de incidentes; seguridad de la cadena de suministro y de la subcontratación (subencargados de tratamiento y otros proveedores).

Desde la óptica jurídica, resulta especialmente relevante cómo el EUCS integra cuestiones que trascienden la técnica pura. Uno de los debates centrales gira en torno a la localización de datos y las transferencias internacionales: lugar de almacenamiento y procesamiento, jurisdicciones aplicables y condiciones de acceso por autoridades de terceros países. Todo ello conecta directamente con el Reglamento general de protección de datos (RGPD), con la Directiva (UE) 2022/2555 sobre medidas para un nivel elevado común de ciberseguridad en la Unión (NIS2) y con normativas sectoriales que condicionan el uso de la nube en sectores críticos.

Si el EUCS se adopta en los términos previstos, es previsible que se convierta en referencia para los requisitos de contratación pública de servicios en la nube (por ejemplo, exigir un nivel “alto” para determinados datos o procesos críticos); expectativas de supervisores financieros, sanitarios o de otros sectores críticos respecto del uso de la nube por sus entidades supervisadas; cláusulas contractuales entre proveedores de servicios en la nube y clientes corporativos en toda la Unión Europea.

4. Esquema Europeo de Certificación de Ciberseguridad para redes 5G

El tercer gran eje es el futuro Esquema Europeo de Certificación de Ciberseguridad para reds 5G, que la Comisión Europea ha encargado a la  ENISA en el marco de la estrategia de seguridad de redes 5G y de la denominada “caja de herramientas 5G” (5G Toolbox). Las redes de comunicaciones móviles de quinta generación (5G) constituyen la base tecnológica de servicios industriales, vehículos conectados, ciudades inteligentes y numerosas aplicaciones de misión crítica.

Este Esquema Europeo de Certificación de Ciberseguridad para redes 5G tiene como finalidad evaluar de forma sistemática la seguridad de equipos, software y arquitecturas de red 5G, incluidas funciones virtualizadas y segmentación de red (network slicing); abordar riesgos derivados de la cadena de suministro, donde intervienen múltiples fabricantes y desarrolladores, algunos potencialmente calificados como proveedores de “alto riesgo”; proporcionar a los Estados miembros y a los operadores de redes públicas un instrumento común para comparar la robustez de diferentes soluciones y proveedores

Este esquema se sitúa en el corazón del debate sobre infraestructuras críticas, soberanía tecnológica y dependencia de terceros países. La certificación al amparo del Esquema Europeo de Certificación de Ciberseguridad para redes 5G no sustituye a decisiones políticas (por ejemplo, restricciones a ciertos proveedores), pero aporta una base técnica más uniforme para justificarlas y para diseñar obligaciones de seguridad reforzadas.

5. Implicaciones jurídicas

Estos esquemas son normas regulatorias “de segundo nivel”. El Reglamento de Ciberseguridad crea un marco general y habilita la adopción de esquemas técnicos que, sin ser leyes formales, tienen efectos normativos muy intensos: introducen presunciones de conformidad, son citados por otras normas y condicionan la práctica contractual.

La existencia o ausencia de certificación bajo esquemas como los mencionados puede influir en la apreciación de la diligencia exigible a fabricantes, proveedores de servicios y usuarios industriales. Un nivel “alto” de aseguramiento no es solo un argumento comercial, sino un elemento que puede entrar en la valoración jurídica ex ante (deber de cuidado) y ex post (juicios de culpa).

Estos esquemas de certificación se entrecruzan con la protección de datos (Reglamento general de protección de datos), con la seguridad de redes y sistemas (Directiva NIS2), con la regulación financiera, sanitaria o de infraestructuras críticas y, cada vez más, con la contratación pública, donde los pliegos comienzan a remitir a niveles concretos de certificación.

Finalmente, estos esquemas ilustran cómo, en el entorno digital, la confianza no se construye solo con normas generales, sino con arquitecturas jurídico‑técnicas complejas, en las que el Derecho, los estándares y la evaluación independiente caminan juntos.

Industria de Defensa. Reglamento Europeo del rearme y de la financiación de tecnologías de doble uso

El Reglamento (UE) 2025/2653 del Parlamento Europeo y del Consejo, de 17 de octubre de 2025 introduce modificaciones en  en varios reglamentos sectoriales de la UE para integrar la política industrial de defensa en el núcleo de los programas de financiación existentes. Se trata de un importante paso para implementar el Plan “ReArmar Europa”.

  • Entre las normas afectadas por esta reforma se encuentran el Reglamento (UE) 2021/694, que establece el programa Europa Digital; el Reglamento (UE) 2021/695, que crea Horizonte Europa; el Reglamento (UE) 2021/697, relativo al Fondo Europeo de Defensa; el Reglamento (UE) 2021/1153, que establece el Mecanismo «Conectar Europa»; y el Reglamento (UE) 2024/795, que pone en marcha la Plataforma de Tecnologías Estratégicas para Europa (STEP).

En el actual contexto caracterizado por el deterioro geopolítico, el incremento del gasto en defensa y las dificultades de acceso a financiación para la industria del sector, la finalidad transversal de estas modificaciones es movilizar tanto inversión pública como privada hacia capacidades militares y tecnologías de doble uso.  Es decir, que la política de defensa europea no dependa exclusivamente de esfuerzos nacionales aislados, sino que se articule de manera coordinada y estratégica en el conjunto de los grandes programas comunitarios.

El núcleo del Reglamento reside en la ampliación de la Plataforma de Tecnologías Estratégicas para Europa, que hasta ahora cubría tres ámbitos estratégicos —transición digital y deep tech, tecnologías limpias y biotecnologías—.  Ahora se se incorpora un cuarto sector específico de “tecnologías de defensa”.

  • Este sector se define por referencia a los productos relacionados con la defensa y a las tecnologías necesarias para su desarrollo, según los criterios establecidos por la Directiva 2009/43/CE sobre transferencias intracomunitarias de productos de defensa.
  • Asi, se permite ahora que los proyectos de defensa puedan beneficiarse del “sello STEP”, de la priorización en la evaluación y de ventajas de cofinanciación, abarcando iniciativas que impliquen capacidades intensivas en datos, infraestructuras avanzadas de computación o “gigafactorías de inteligencia artificial” susceptibles de aplicación militar. Esta ampliación refleja un cambio sustancial en la orientación de la política industrial europea, al vincular la innovación tecnológica avanzada con necesidades estratégicas de defensa en el marco de los programas comunitarios existentes.

Zamora, vista allén del río

De manera complementaria, el Reglamento introduce una excepción significativa en el programa Horizonte Europa. Mientras que el artículo 7, apartado 1, del , todavía vigente, Reglamento (UE) 2021/695 consagra el carácter civil de las actividades financiadas, el nuevo texto permite, con carácter excepcional y estrictamente acotado, que el Acelerador del Consejo Europeo de Innovación apoye innovaciones con posibles aplicaciones de doble uso. Esta medida habilita la financiación mediante instrumentos de capital a pymes, start‑ups y small mid‑caps del sector de la defensa que desarrollen tecnologías consideradas fundamentales para este ámbito, asegurando al mismo tiempo la complementariedad con el Fondo Europeo de Defensa y otros instrumentos financieros de la Unión, como InvestEU.

El Reglamento refuerza asimismo las salvaguardas de seguridad y el control de acceso para los proyectos de doble uso. En determinadas convocatorias, las normas de admisibilidad y selección pueden limitar la participación a entidades establecidas en Estados miembros y, de forma limitada, en algunos países asociados, excluyendo empresas controladas por terceros países no asociados cuando ello sea necesario para proteger los intereses estratégicos y de seguridad de la Unión. La Comisión queda obligada a supervisar el uso de esta “excepción de defensa” dentro de Horizonte Europa, recopilando y comunicando información sobre los proyectos afectados sin generar nuevas cargas administrativas para los beneficiarios, lo que garantiza una gestión controlada y transparente de los recursos públicos destinados a la innovación estratégica.

Además, las modificaciones introducidas en Europa Digital, el Fondo Europeo de Defensa y el Mecanismo «Conectar Europa» completan esta lógica de integración, facilitando que programas originalmente concebidos para la digitalización, la investigación y desarrollo civil o las infraestructuras de transporte y energía puedan apoyar de manera efectiva capacidades críticas con relevancia militar o de doble uso. Entre estas capacidades destacan infraestructuras esenciales para la movilidad de fuerzas, la resiliencia energética y la seguridad de las comunicaciones, que se vuelven estratégicas en el marco del Plan ReArmar Europa.

Este Reglamento (UE) 2025/2653 constituye una pieza central de coordinación y planificación presupuestaria, trasladando la política de defensa desde un enfoque estrictamente nacional hacia una estrategia industrial europea integrada, que articula los grandes instrumentos de financiación de la Unión para responder a desafíos geopolíticos y tecnológicos contemporáneos.

Hacia la simplificación del ordenamiento europeo de sociedades y los criterios ESG en derecho societario- (las propuestas Omnibus)

Riaño, by Ricardo Castellanos Blanco

La creciente densidad del acervo europeo en materia financiera, societaria y de sostenibilidad ha generado una preocupación creciente por la complejidad y los costes de cumplimiento asociados. En sus recientes comunicaciones e informes sobre simplificación, la COMISIÓN EUROPEA viene anunciando que está sometiendo la legislación vigente a revisión para detectar acumulaciones regulatorias, racionalizar obligaciones y garantizar que las normas sigan siendo proporcionadas y adecuadas a sus fines . Véase, por ejemplo, la Comunicación «Una normativa de la UE más sencilla, eficaz y preparada para el futuro», COM(2025) 47 final, y el Informe sobre simplificación, aplicación y cumplimiento, COM(2025) 871 final). Cada comisario ha asumido, en este contexto, un mandato específico de revisión de su cartera normativa, con prioridad en aquellos ámbitos en los que empresas y partes interesadas perciben mayor carga administrativa, de modo que los resultados de este escrutinio alimentan tanto futuras iniciativas de reforma como sucesivos paquetes “ómnibus” orientados a corregir disfunciones y solapamientos.

Tanto el denominado Informe Draghi sobre competitividad europea (M. Draghi, «The future of European competitiveness. A competitiveness strategy for Europe (Part A)», Informe para la Comisión Europea, 9.9.2024) como la Declaración de Budapest en favor de un nuevo pacto para la competitividad (CONSEJO DE LA UE, “Declaración de Budapest sobre el Nuevo Pacto para la Competitividad Europea”, Comunicado de prensa 838/24, 8.11.2024) han contribuido a reforzar esta orientación, al reclamar una “revolución de la simplificación” y un marco normativo más predecible y menos oneroso, en particular para las pymes.

En este marco, la reforma conocida como Ómnibus I, articulada a través de una Propuesta de Directiva que modifica, entre otros instrumentos, la Directiva sobre información corporativa en materia de sostenibilidad (Directiva (UE) 2022/2464 del Parlamento Europeo y del Consejo, relativa a la información corporativa sobre sostenibilidad, “CSRD”) y la Directiva sobre diligencia debida en materia de sostenibilidad empresarial (Directiva (UE) 2024/1760 del Parlamento Europeo y del Consejo, sobre diligencia debida de las empresas en materia de sostenibilidad, “DDD”), se inserta en una estrategia explícita de simplificación para reducir la carga administrativa asociada a las obligaciones ESG de las empresas europeas (Propuesta de Directiva por la que se modifican las Directivas 2006/43/CE, 2013/34/UE, (UE) 2022/2464 y (UE) 2024/1760 en lo que respecta a determinados requisitos de presentación de información corporativa y de diligencia debida de las empresas en materia de sostenibilidad, COM(2025) 81 final).

Ómnibus I puede leerse como una reacción ponderada, aunque no exenta de controversia, frente a la centralidad adquirida por la sostenibilidad en la agenda regulatoria europea, entendida en los últimos años como un vector destinado a reorientar las prioridades de las sociedades mercantiles combinando la obtención de beneficios económicos, con objetivos ambientales, sociales y de buen gobierno (ESG)

  • En el ámbito de la información sobre sostenibilidad, la propuesta reduce de forma sustancial el universo de empresas obligadas elevando los umbrales de entrada, de manera que solo queden plenamente sometidas sociedades de gran dimensión —por encima de determinados niveles de plantilla y facturación— incluidas ciertas filiales y sucursales de grupos de terceros países con actividad relevante en la Unión (conforme a los nuevos umbrales que introduce la Propuesta COM(2025) 81 final al modificar la Directiva 2013/34/UE y la Directiva (UE) 2022/2464).
  • Paralelamente, se simplifican los contenidos de la información que deben elaborar las empresas, se flexibilizan determinados estándares sectoriales, se introduce un modelo optativo para la comunicación del grado de alineación con el Reglamento (UE) 2020/852 del Parlamento Europeo y del Consejo, de 18 de junio de 2020, relativo a la taxonomía de actividades sostenibles (“Reglamento de Taxonomía”), y se refuerzan salvaguardias destinadas a evitar el traslado indirecto de obligaciones hacia empresas de menor tamaño a través de la cadena de valor.
  • Se acompaña de medidas de apoyo institucional —como portales digitales con orientaciones y plantillas armonizadas— y de una reprogramación temporal que difiere la plena aplicación del nuevo marco, con el objetivo declarado de ofrecer flexibilidad y permitir una adaptación progresiva, en especial para empresas intermedias o en transición

La reforma proyecta efectos relevantes también sobre el régimen de diligencia debida en materia de sostenibilidad, que pasa a concentrarse en un número más reducido de empresas de gran dimensión, modulando el alcance de la identificación y gestión de riesgos ambientales y sociales, suavizando ciertas consecuencias jurídicas —incluido el régimen sancionador— y precisando las cadenas de relaciones comerciales a las que debe extenderse el deber de vigilancia, mediante las modificaciones introducidas sobre la Directiva (UE) 2024/1760 por la Propuesta COM(2025) 81 final. En paralelo, algunas posiciones nacionales, como la del Bundesrat alemán (BUNDESRAT, “Beitrag des Deutschen Bundesrats zur Überarbeitung der Europäischen Standards zur Nachhaltigkeitsberichterstattung und der CSDDD”, 2025), reclaman una clarificación adicional del perímetro de las obligaciones de diligencia y del contenido de los estándares materiales aplicables, así como la necesidad de directrices uniformes sobre responsabilidad civil para evitar divergencias interpretativas que podrían generar inseguridad jurídica y distorsiones competitivas dentro del mercado interior.

Con todo, aunque el propósito explícito de estas modificaciones es reforzar la proporcionalidad regulatoria, reducir costes de cumplimiento y preservar la competitividad de las empresas europeas, el sentido de la reforma no está exento de ambivalencias. La elevación de umbrales, la reducción del detalle informativo y el recurso a modelos voluntarios en ámbitos clave pueden traducirse, según advierten diversos sectores académicos, organizaciones ambientales y actores de la sociedad civil, en una pérdida de densidad evaluativa, una menor trazabilidad de impactos y un debilitamiento de los incentivos para integrar de forma sustantiva la sostenibilidad en la estrategia corporativa y en los sistemas de gobernanza. En este sentido, la propuesta  Ómnibus I refleja una opción de política económica que prioriza la reducción de cargas y la estabilidad competitiva frente al impulso transformador que caracterizó las fases iniciales de la agenda europea de sostenibilidad, de manera que su efectividad real dependerá, en última instancia, de cómo empresas y supervisores consigan equilibrar esa simplificación normativa con la preservación de los objetivos ambientales y sociales a medio y largo plazo (tal y como han subrayado diversas valoraciones críticas del paquete, tanto institucionales como académicas).

En cuanto a Ómnibus II,  COMISIÓN EUROPEA: Proposal for a Regulation of the European Parliament and of the Council amending Regulations (EU) 2015/1017, (EU) 2021/523, (EU) 2021/695 and (EU) 2021/1153 as regards increasing the efficiency of the Union guarantee under Regulation (EU) 2021/523 and simplifying reporting requirements, COM(2025) 84 final, Bruselas, 2025; modifica —como parte del paquete Omnibus II— el marco normativo que rige el programa InvestEU y otros instrumentos relacionados con la garantía de la UE para facilitar la movilización de inversiones, simplificar requisitos de reporte y reducir cargas administrativas para implementar inversiones estratégicas.

 

Aprobada una nueva IA Factory en Galicia

La Comisión Europea ha seleccionado a España para albergar una segunda AI Factory en España. Esta vez, en el Centro de Supercomputación de Galicia (CESGA). La nueva instalación, denominada 1HealthAI, estará especializada en el desarrollo de inteligencia artificial aplicada a las ciencias de la vida. Contará con un superordenador específico y una plataforma avanzada de supercomputación, concebida para proyectos experimentales y colaborativos en biotecnología, investigación sanitaria y otras áreas vinculadas a la salud. Se ubicará en las inmediaciones del aeropuerto internacional de Rosalía de Castro.

Expo na Cidade da Cultura (Santiago, 2021)

Esta AI Factory supone una inversión total de 82 millones de euros, de los cuales 24 millones procederán del Ministerio de Ciencia, Innovación y Universidades.

  • Su diseño responde a un doble objetivo: ofrecer servicios gratuitos de apoyo a empresas, startups y centros de investigación,
  • Facilitar el acceso equitativo a herramientas de IA de última generación, reduciendo así la brecha tecnológica entre los distintos agentes del ecosistema innovador.

 

Seguridad, transparencia y responsabilidad de la IA en el marco europeo

La inversión se enmarca en el nuevo ecosistema normativo de la Unión Europea, que exige que los desarrollos de inteligencia artificial se ajusten a criterios de seguridad, transparencia y fiabilidad. Así se busca reforzar la confianza en el desarrollo y uso de la inteligencia artificial en Europa, integrando la innovación tecnológica con la exigencia de cumplimiento y responsabilidad.

  • Antes de comercializar un sistema de IA de alto riesgo en el mercado de la UE, los proveedores deberán someterlo a una evaluación de conformidad o, en su caso, a una autoevaluación que permita demostrar que el sistema cumple los requisitos de una inteligencia artificial de confianza.
    • Entre las obligaciones impuestas figuran la implantación de un sistema de gestión de calidad, el mantenimiento de la documentación técnica y de los registros de actividad, así como la colaboración activa con las autoridades competentes, notificando incumplimientos o riesgos detectados.
    • Los usuarios —o responsables del despliegue, según la terminología del Reglamento— deberán garantizar la supervisión humana, monitorizar los sistemas y conservar los registros de uso, mientras que los importadores y distribuidores deberán asegurar que los productos hayan superado la evaluación de conformidad, mantener la documentación técnica y colaborar igualmente con las autoridades.

En este contexto, las PYMEs adquieren un papel clave tanto como desarrolladoras como usuarias de sistemas de IA. Deberán evaluar si los sistemas que crean o utilizan pueden considerarse de alto riesgo según el Reglamento, ya que esta clasificación conlleva mayores obligaciones en materia de supervisión y control. Asimismo, deberán implantar mecanismos para garantizar un uso seguro y responsable de la tecnología, capacitar a su personal en el uso adecuado de la IA y sensibilizarlo sobre los riesgos y obligaciones legales. Resulta especialmente recomendable que las pequeñas y medianas empresas establezcan un Sistema de Gestión de Cumplimiento Legal en materia de IA, que permita identificar, evaluar y mitigar riesgos regulatorios en todas las áreas relevantes.

  • Para facilitar esta adaptación, el Reglamento incluye medidas específicas de apoyo a las PYMEs, como formación adaptada, canales de comunicación directa y difusión de buenas prácticas. Además, las microempresas quedan exentas de mantener un sistema de gestión de calidad formal, aunque sí deberán gestionar los riesgos asociados a los sistemas que empleen o desarrollen.
  • Ante las dificultades que enfrentan las pequeñas y medianas empresas para cumplir con los requisitos técnicos y regulatorios derivados del nuevo marco de inteligencia artificial,  el Reglamento de IA se acompaña de una estrategia de apoyo específica para las PYMEs, que combina financiación europea con asistencia práctica.
    • Programas como Digital Europe y Horizonte Europa, junto con los Fondos de Cohesión, facilitan recursos económicos y técnicos para la adopción de soluciones de IA. A nivel operativo, los Digital Innovation Hubs (EDIHs) y las AI Factories europeas ofrecen a las PYMEs espacios para experimentar y probar sistemas de IA en entornos controlados, con asesoramiento especializado en cumplimiento normativo, seguridad y buenas prácticas.
    • Además, las Testing and Experimentation Facilities (TEFs) permiten a las empresas evaluar sus prototipos de manera segura antes de su despliegue comercial. Este ecosistema de apoyo integral pretende que las PYMEs puedan desarrollar e integrar soluciones de IA de manera segura y conforme a la ley, sin perder competitividad frente a grandes plataformas tecnológicas, y que accedan a oportunidades de innovación que antes solo estaban al alcance de grandes corporaciones

La creación de la nueva AI Factory 1HealthAI en Galicia debe interpretarse en este marco más amplio en el que  la UE avanza hacia un modelo que combina la inversión en capacidades críticas —como la supercomputación, los centros de datos o la IA aplicada a la salud y la sostenibilidad— con una regulación exigente que garantice el respeto a los derechos fundamentales y la seguridad de los sistemas.

No se trata de oponer innovación y regulación, sino de hacerlas converger: la competitividad digital europea dependerá, precisamente, de la capacidad para integrar la confianza como activo estratégico. En este sentido, las AI Factories no son solo infraestructuras científicas, sino instrumentos de soberanía tecnológica y de cohesión territorial, llamados a reforzar la posición de Europa —y de España— en la nueva economía de la inteligencia artificial.

 

Antecedentes

Actualmente existen 13 AI Factories con sede en 12 países europeos —Alemania, Austria, Bulgaria, Eslovenia, España (en Barcelona), Finlandia, Francia, Grecia, Italia, Luxemburgo, Polonia y Suecia—, a las que se suman ahora seis nuevas fábricas concedidas en toda Europa, entre ellas la de Galicia. La factoría gallega, liderada por el CESGA y coliderada por el CSIC, cuenta con la participación y firme compromiso de socios clave, incluyendo las tres universidades públicas gallegas, varios de sus centros de investigación integrados en la Red CIGUS, el Hub Europeo de Innovación Dixital DATAlife y el centro tecnológico Gradiant, entre otros agentes del sistema gallego de I+D+i. Cabe recordar que el CESGA es una fundación participada al 70% por la Xunta de Galicia y al 30% por el CSIC, con carácter mixto y papel estratégico en la política científica y tecnológica autonómica.

Implantación de IA en las PYME

La inteligencia artificial (IA) ya forma parte del día a día de muchas pymes españolas. Desde chatbots para atención al cliente hasta algoritmos que optimizan inventarios o apoyan decisiones financieras, la IA se ha consolidado como una herramienta estratégica.

Hamburgo. Ayuntamiento. Epc

Con la aplicación de las normas a los modelos de IA del Reglamento Europeo de IA (Reglamento UE 2024/1689) a partir del 2 de agosto de 2026, se activan de forma definitiva obligaciones que afectan directamente al uso y comercialización de estas tecnologías. Este es, por tanto, un momento clave para repasar las principales exigencias que los directivos de pymes deben conocer, no solo para cumplir con la ley, sino también para identificar cómo la IA puede convertirse en una palanca de innovación y crecimiento.

  • 02/02/2025: prohibición de sistemas de riesgo inaceptable.
  • 02/08/2025: aplicación de normas a modelos de IA de propósito general.
  • 02/08/2026: fin del periodo transitorio y aplicación plena del Reglamento.

 

Modelos de IA de propósito general
Son sistemas que no están diseñados para una tarea concreta, sino que pueden realizar de manera competente una amplia variedad de tareas distintas. Ejemplos son los grandes modelos de lenguaje desarrollados por OpenAI (ChatGPT) o Google (Gemini), que pueden aplicarse a chatbots, generación de contenido o análisis de datos.

  • Desde agosto de 2025, los proveedores de estos modelos deben cumplir con requisitos de transparencia y seguridad en cuatro niveles, cada uno con ejemplos y requisitos distintos:
    •  Riesgo inaceptable: sistemas totalmente prohibidos por considerarse una amenaza para la seguridad o los derechos fundamentales. Ejemplos: puntuación social, manipulación subliminal del comportamiento, reconocimiento de emociones en entornos laborales o educativos, identificación biométrica en tiempo real en espacios públicos.
    • Alto riesgo: permitidos, pero sujetos a requisitos estrictos de evaluación, supervisión y seguridad. Incluye, entre otros, sistemas para filtrado de CVs en procesos de selección o algoritmos de evaluación crediticia o scoring financiero.
    • Riesgo limitado: no requieren requisitos técnicos complejos, pero sí transparencia hacia los usuarios. Dentro de esta categoría podríamos encontrar los chatbots y asistentes conversacionales, que deben identificarse claramente como IA, generadores de contenido sintético (deepfakes) que deben ir etiquetados, o sistemas que detectan emociones de clientes en un contexto comercial (con aviso previo).
    • Riesgo mínimo: uso libre sin obligaciones específicas en el Reglamento, aunque siguen aplicando otras leyes generales. Ejemplos: filtros anti-spam, recomendadores de productos en e-commerce, optimización de rutas logísticas o videojuegos con IA.

Un primer reto importante radica en identificar correctamente el nivel de riesgo de cada herramienta, ya que un sistema clasificado como alto riesgo puede implicar costes y procesos que desincentiven su uso.

Implicaciones del Reglamento de IA para las PYMEs

La mayoría de las pequeñas y medianas empresas operarán principalmente como usuarias de sistemas de inteligencia artificial, y el alcance de sus responsabilidades dependerá del nivel de riesgo de las herramientas que empleen.

Bruselas.

Los sistemas clasificados como de alto riesgo concentran la mayor parte de los requisitos técnicos y documentales, pero incluso los sistemas de riesgo limitado o mínimo implican obligaciones esenciales, especialmente en términos de transparencia y uso responsable. Entre ellas destacan la necesidad de utilizar la IA siguiendo las instrucciones del proveedor, garantizar supervisión humana en decisiones críticas —obligatoria en sistemas de alto riesgo y recomendable en el resto—, mantener registros de actividad, verificar la calidad de los datos introducidos y, cuando proceda, informar a empleados y clientes sobre la utilización de IA.

Un aspecto crítico es que modificar un sistema de IA o cambiar su finalidad puede transformar a la pyme de usuaria a proveedora de alto riesgo, con las consiguientes obligaciones legales y costes adicionales. Por ejemplo, una consultora de recursos humanos que adapte un modelo de propósito general, inicialmente de riesgo limitado, para crear un sistema de preselección de candidatos estaría desarrollando un sistema de alto riesgo. Este cambio implica mayores responsabilidades técnicas y jurídicas, y si la empresa no dispone de los recursos necesarios, podría enfrentar sanciones significativas.

El régimen sancionador del Reglamento de IA es riguroso y busca garantizar el uso responsable de la tecnología.

  • Las multas por incumplimiento pueden alcanzar hasta 35 millones de euros o el 7 % de la facturación anual global en casos de prácticas de IA inaceptables, y hasta 15 millones o el 3 % en infracciones relacionadas con sistemas de alto riesgo o con la gestión de modelos de propósito general.
  • Para PYMEs y empresas emergentes, se aplicará la cantidad menor entre el porcentaje de facturación y la cuantía fija. Este sistema, combinado con la complejidad del marco regulatorio, podría retrasar el lanzamiento de soluciones o incluso provocar su retirada del mercado europeo, dejando a algunas pymes en desventaja frente a empresas de otras regiones con regulaciones más flexibles.

Para adaptarse de manera práctica y aprovechar las oportunidades que ofrece la IA, las pymes deben seguir un plan estructurado: en primer lugar, elaborar un inventario detallado de todas las herramientas y sistemas de IA que utilizan, incluyendo aquellos integrados en otros softwares; en segundo lugar, clasificar cada herramienta según su nivel de riesgo —inaceptable, alto, limitado o mínimo—; y finalmente, contactar con los proveedores para confirmar planes de cumplimiento, solicitar documentación y verificar, en su caso, el marcado CE de los sistemas de alto riesgo. A estas acciones se suma la implementación de un programa de formación interna o “alfabetización en IA”, que permitirá al personal identificar riesgos, usar la IA de forma segura y generar valor para la organización. Designar un responsable interno que coordine este proceso y lidere la capacitación es clave para integrar la IA de manera estratégica en la pyme y convertir el cumplimiento normativo en un motor de innovación.

Consciente de las dificultades que enfrentan las PYMEs, la Unión Europea ha desarrollado medidas de apoyo específicas.

  • Programas como Digital Europe y Horizonte Europa, junto con los Fondos de Cohesión, facilitan recursos financieros y técnicos para la adopción de IA. A nivel operativo, los Digital Innovation Hubs (EDIHs)
  • Las AI Factories proporcionan espacios para experimentar y probar sistemas de IA bajo condiciones controladas, con asesoramiento especializado sobre cumplimiento normativo, seguridad y buenas prácticas.
  • Las Testing and Experimentation Facilities (TEFs) permiten evaluar prototipos antes de su despliegue comercial, garantizando un entorno seguro. Este ecosistema integral busca que las pymes desarrollen e integren soluciones de IA de manera conforme a la ley, sin perder competitividad frente a grandes plataformas tecnológicas, y que puedan acceder a oportunidades de innovación que antes solo estaban al alcance de corporaciones de mayor tamaño.

 

International Business Law (International Trade Degree-ULE). Lesson 2 Section 2(Notes IBL 2025-26)

LESSON 2 IBL:  INTERNATIONAL COMPANY LAW – EUROPEAN UNION FRAMEWORK

2. Companies within the European Internal Market: Harmonised and Unified aspects.

 

The European Union has competencies related to Company Law, mostly in the realm of achieving a fully integrated Internal Market. The EU Freedoms involved in Company Law are mainly the freedom to provide services (both cross-border and with a permanent establishment) and the Free Movement of  Capital.  Free movement of Workers/Persons and Free movement of Goods are also involved to a lesser degree).

The purpose of EU rules in the area of Company Law is to enable businesses to be set up anywhere in the EU, enjoying the freedom of movement of persons, services and capital, to provide protection for shareholders and other parties with a particular interest in companies, to make businesses more competitive, and to encourage business to cooperate over borders.

 

The EU Company Law is  embodied in Treaties, Directives and Regulations

    • TFUE to create the basic framework for legal persons in the UE ( as regulated in Articles 49, 50(1) and (2)(g), and 54, second paragraph) :
          • Article 49, second paragraph TFEU guarantees the right to take up and pursue activities in a self-employed capacity and to set up and manage undertakings, in particular companies or firms
    • Directives to harmonise EU Company Law
      • The first/older harmonisation Directives  developed the main aspects of EU Company Law (publicity, branches, accounts, among others)
      • Following earlier legislative works, the Consolidation Directive unifies older harmonisation Directives. The Consolidation Directive is Directive (EU) 2017/1132  that codifies certain aspects of Company Law concerning limited liability companies. Thus, it repealed some older Directives and replaced them without changing their content. Specifically, it deals with specific issues related to the protection of members (such as shareholders) and creditors
        • The Consolidation Directive has already been modified, as with Directive (EU) 2019/1151 of the European Parliament and of the Council of 20 June 2019 amending Directive (EU) 2017/1132 as regards the use of digital tools and processes in Company law. See also this 2025 modification: Directive (EU) 2025/25 of the European Parliament and of the Council of 19 December 2024, Amending Directives 2009/102/EC and (EU) 2017/1132 as regards further expanding and upgrading the use of digital tools and processes in company law. This Directive introduces a new step in the digital transformation of EU company law. By amending Directives 2009/102/EC and (EU) 2017/1132, it aims to further promote the use of digital tools and online procedures throughout the entire life cycle of companies — from their formation to their ongoing operations and cross-border activities. The reform strengthens legal certainty and transparency by enabling more efficient access to company information and facilitating online interactions with business registers and public authorities. It also reduces administrative burdens, particularly for SMEs, by allowing greater use of digital identities, electronic signatures, and interoperable platforms. In addition, the Directive enhances cross-border cooperation between national registers and improves data quality and accessibility across the EU, contributing to a more integrated and competitive Single Market.
      •  Furthermore, and harmonising specific Company law issues, Directive (EU) 2019/2121 of 27 November 2019 lays down new rules on cross-border conversions and divisions and amends the rules on cross-border mergers.
    • Regulations unify specific aspects of Company law in the EU. They are especially relevant in the field of accounts and in the creation of instruments and new types of companies (such as the Societas Europae, and the EU Cooperative).

Some EU Directives and Regulations create specific EU rules in many fields of Company Law.

2.1 Incorporation, Registries and official transparency, shareholders and third parties (creditors) protection, and branches.

 

  • Incorporation or formation (now regulated by Directive 2017/1132, «the Consolidation Directive»).
    • The statutes or instrument of incorporation of a public limited liability company PLC, (in Spain S.A.) must make it possible for any interested person to acquaint themselves with 1) the type, name, and objects of the company. 2) the basic particulars of the company, including the exact composition of its capital, 3 )the rules to appoint its Directors and Board Members 4) the number of shares 5) the nominal value of its issued shares 6) Its registered office (domicilio social) 7) any special conditions for the transfer of shares 8) Paid-up capital upon incorporation 9) Procedure to convert bearer shares into nominal shares and vice versa 10)etc
  • Registries
    • The incorporation and other acts of companies must be filed within a National Public Registry ( in Spain, Registro Mercantil).
    • National Registries are now interconnected as  Directive 2012/17/EU and Commission Implementing Regulation (EU) 2015/884 set out rules on the system of interconnection of business registers (‘BRIS’). t
      • BRIS has been operational since 8 June 2017, although some of its desired features are still to be completed.
      • The BRIS allows EU-wide electronic access to company information and documents stored in Member States’ business registers via the European e-Justice Portal. BRIS also enables EU Commercial Registers to exchange information between themselves (including but not limited to notifications on cross-border operations and on branches).
  • Digital incorporation of SL-type companies
    • Since  2019, Member States must ensure that at least some companies (limited companies such as, in Spain, the SL) can be fully incorporated by digital means and that their incorporation documents can be electronically filled (in the National Registry) online
  • Official transparency
    • Filling incorporation and other documents into the Commercial Registry is a means of official transparency, as it serves to disclose information.
    • The duty to draw up annual accounts and to deposit them in the commercial register, where they can be consulted, is also an instrument of transparency
    • There are also other instruments.
      • For example, certain entities (such as the SAE or the European Economic Interest Grouping) have their incorporation and dissolution published in the OJEU.
      • And there are special transparency measures for listed companies that must report data to their market supervisor (in Spain, the CNMV):  Under EU rules, issuers of securities on regulated markets must disclose (to the market supervisor and to the public) certain key information to ensure transparency for investors. The Transparency Directive (2004/109/EC) requires issuers of securities listed on EU-regulated markets to make their activities transparent by regularly publishing certain information, which includes:
        • Yearly and half-yearly financial reports
        • Major changes in the holding of voting rights
        • ad hoc inside information, which could affect the price of securities

        This information must be disclosed in a way that benefits all investors equally across Europe.

        The EU Commission launched a pilot project to evaluate distributed general ledger technologies as a back-up solution to implement the EU’s central access point to regulated information of listed companies (EEAP) (European Financial Transparency Portal; EFTG).

 

  • Shareholders’ and creditors protection
    • Today, the Consolidation Directive unifies older harmonisation Directives that include several aspects for the protection of shareholders and creditors.  For instance, it deals with transparency measures, as above, as well as with rules on capital.
    • Please note that this Consolidation Directive, Directive (EU) 2017/1132 which codifies certain aspects of Company Law concerning limited liability companies, repeals some older Directives and replaces them. Here are some of its contents that are useful for the protection of shareholders and creditors
      • It defines a public liability company(PLC)  as one which has offered shares to the general public and whose shareholders have limited liability, usually only concerning the amount paid for their shares and securities. (SA in Spain).
        • Please note that Securities are transferable shares which give the owner voting rights in a company, Sometimes those shares are «quoted», or admitted to a Regulated Market, for example, The London Stock Exchange, la Bolsa de Valores de Madrid, and similar marketplaces. Not all PLCs are listed companies. But PLC-listed companies are subject to some special rules and Directives as we are studying in this lesson.
      • It also coordinates national rules for creating and running companies and increasing or reducing their capital: It mandates that the minimum capital required in the EU to register a public limited company (PLC) is of 25 000EUR. (in Spain, our Ley de Sociedades de Capital raises such minimum as it requires 60,000€ of issued capital for the formation of a Spanish PLC: a Sociedad Anónima or SA)
      • It further sets minimum information requirements for companies upon their incorporation and whenever the incorporation documents are modified.
        • The instrument of incorporation (constitución) and the statutes (estatutos) or bye-laws (reglamentos internos) of EU PLCs must contain (at least) the following information:
        • the type and name of the company; the objectives of the company; the rules governing appointing Directors responsible for managing, running and supervising the company; and the duration of the company.
        • the registered office; the value, number and form of the subscribed (company-issued) shares;
        • the amount of subscribed (company-issued) capital; the identity of those who sign the instrument of incorporation or the bylaws.
        • The mandatory disclosure of the information is implemented by filling it in the national business registers (for example Registro Mercantil in Spain,  Companies House in UK, etc).;
        • Concerning the validity of the obligations entered into by the company, and regarding liabilities derived thereof the Consolidation Directive makes mandatory that, if an action has been carried out on behalf of a Company before it has acquired legal personality, the persons who acted shall be deemed liable therefor and not the company itself. However, once a company has acquired legal personality, acts performed by the organs of the company shall be binding upon itits members and third parties, including such acts that go beyond the limitations of the objects of the company (ultra vires).
        • Regarding the nullity of the company (very important for creditors, for shareholders, and other parties), the Member States shall provide for the nullity of companies only by decision of a court of law. The nullity of a company may only be ordered in the cases established in the Directive
  • Branches
    • Such Branches of Companies from other Member States must be registered in the Host Country Commercial Registry . They must make publicly available, through the interconnection system of central, commercial and company registers, at least the following information:
      • Address, activity, name (if different from the Company), particulars, appointment and discharge of the person or persons representing and managing the Branch.
      • Company’s place of registration and registration number; name and legal form of the company; winding-up of the company, appointment and particulars of liquidators; accounting documents;
      • Closing of the branch.
      • The Directive allows the Member States to require additional disclosures.

2.2 Specialities of single-member limited liability companies

(Now codified in Directive 2009/102/EC — company law on single-member private limited liability companies:)

  • A company may have a single member by its being formed, or by all its shares/non-share participations coming to be held, by a single person (single-member company).
  • Member States must allow the incorporation of single-member companies of the SL type.
  • Member States must allow the that SL or SA become single-member companies after their incorporation as a multiple-member company
  • Member States can allow for PLC (SA) to be incorporated as single-member company
  • Where a company becomes a single-member company because all its shares have come to be held by a single person, that fact, together with the identity of the single member, must either be entered in a register kept by the company and accessible to the public or be recorded in the file or entered in the central national commercial register or the register of companies.
  • The single-member exercises the powers of a general meeting of the company.
  • All decisions taken by the single member and contracts between that person and the company as represented by him or her must be recorded in the minutes or drawn up in writing.

    Cantábrico (Asturias)

2.3 Specialities to promote shareholders’ long-time involvement in listed companies

EU company law has enacted some measures to promote the long-term involvement of shareholders in the projects of the companies in which they have invested, even if they are located in another EU Member State. To such aims, the cross-border exercise of shareholders’ rights is of utmost relevance: Directive 2007/36/EC (amended by Directives 2014/59/EU and (EU) 2017/828) on the exercise of certain rights of shareholders in listed companies abolishes the main obstacles to a cross-border vote in listed companies that have their registered office in a Member State. Here are some issues regulated in these Directives:

  • Identification of shareholders. The 2007 and 2017 Directives made it mandatory that adequate instruments (and intermediaries) exist so that listed companies («cotizadas») can identify their shareholders. The end aim is to facilitate the exercise of shareholders’ rights and their involvement in the company. (Member States may stipulate that companies located within their territory are only authorised to request identification regarding shareholders holding more than a certain percentage of shares or voting rights, not exceeding 0.5%).
  • Rights of shareholders to monitor Director’s remunerations. It establishes shareholders’ right to vote on the remuneration of directors and it mandates that the remuneration policy must be published. Also, it regulates the performance of directors, which should be evaluated using financial and non-financial performance criteria, including, where appropriate, environmental, social, and management factors.
  • Transparency of institutional investors, asset managers and voting advisors in particular to facilitate the exercise of shareholders’ voting rights:
    • Intermediaries will have to facilitate the exercise of shareholders’ rights, including the right to participate and vote at general meetings.
    • They will also have an obligation to provide shareholders, in a standardised format and in due time, with all company information that enables them to exercise their rights properly.
    • In addition, they will have to publish all costs related to the new rules.
  • Transactions with related parties
    • Transactions with related parties may be detrimental to companies and their shareholders, as they may give the related party the possibility of appropriating value belonging to the company. For this reason, the new Directive provides that:
      • a) significant transactions with related parties have to be submitted for approval by the shareholders or the administrative or supervisory body to protect adequately the interests of the company.
      • b) and, Companies will have to publicly disclose (to the market supervisors (ie, in Spain the CNMV) relevant transactions with all information necessary to assess the fairness of the transaction.
2.4 Take over bids, mergers, acquisitions, divisions

Santiago de Compostela. Vista desde la Alameda

This Directive applies to companies whose shares are admitted to a regulated market (listed companies, that is, listed PLC or «cotizadas») in relation with takeover bids

A takeover bid is a public offer to acquire all or part of a company’s securities.

  • To protect minority shareholders of listed companies in a takeover bid, Directive 2004/25/EC, mandates that anyone gaining control of a company (30/-35% of its securities) must make a bid at an equitable price at the earliest opportunity to all holders of securities.
    • The control situation must be notified to the marketplace and to the supervision authority
    • The equitable price is the highest price the offeror paid for the securities during a 6- to 12-month period before the bid. In specific circumstances, national supervisory authorities may adjust this price.
    • The Board of Directors of the bidding Company is competent to approve the decision to launch the bid and is responsible for the documents and procedures involved therein.
    • The decision to launch a bid should be made public as soon as possible to ensure market transparency and integrity of the offeree company securities.
    • Employee representatives must be informed of any takeover bid.
    • National authorities determine the time for the shareholders of the offeree/target company to accept a bid. This runs between 2 and 10 weeks.
    • National rules exist for issues such as the lapsing or revision of bids or disclosure of the result of a planned takeover.

In case the Board of the offeree/target does not wish for the bid to be successful, before engaging in actions that could block the bid, the Board of the offeree/target company must (subject to an EU country opt-out) obtain prior authorisation from a general shareholders’ meeting.

Please note that this EU regime for taking control over a Stock market-listed Company (Mandatory Bid Rule) is different to the USA system, where the bid is not mandated and where controls take place, mainly, after the deal.

      • A merger is an operation whereby:
        • Merger by acquisition. One or more companies, being dissolved without going into liquidation, transfer all their assets and liabilities to another existing company, the acquiring company, in exchange for the issue to their members of securities or shares representing the capital of that other company and, if applicable, a cash payment (within the limits of the Directive)
        • Merger by the creation of a «newco». Two or more companies, being dissolved without going into liquidation, transfer all their assets and liabilities to a company that they form, the “new company”, in exchange for the issue to their members of securities or shares representing the capital of that new company and, if applicable, a cash payment (within the limits of the Directive)
        • Merger by transferring shares to the parent co. The shareholders of  one or more companies transfer their shares to a company that will be holding all the securities or shares representing its capital, that is, to its parent company
      • In all 3 cases, the draft terms of the merger must be drawn up by the administrative or management board and must contain specific information, including:
            • the type, name and registered office of the companies;
            • the share exchange ratio (that is, the relative number of new shares that will be given to existing shareholders of a company that has been acquired or merged with another);
            • terms relating to the allotment of shares in the acquiring company (and or in the new company to be formed);
            • the rights granted by the acquiring (or the new) company.
      • In all 3 cases, workers councils of the merging companies must be informed. And the final deal is approved by the shareholders of both companies. Please note that M&A operations as well as takeovers may in some cases fall within the realm of Free Competition legislation. Therefore,  companies must also make sure that they follow Free Competition procedures. In this course, we analyse such procedures in lesson 3, «concentrations«.
  • Divisions of public limited liability companies
    • Directive (EU) 2017/1132  that codifies certain aspects of Company Law concerning limited liability companies (the consolidation Directive)  addresses also Divisions
      •  ‘division by acquisition’ is the operation whereby, after being wound up without going into liquidation, a company transfers to more than one company all its assets and liabilities in exchange for the allocation to the shareholders of the company being divided of shares in the companies receiving contributions as a result of the division (‘recipient companies’) and possibly a cash payment. The directive sets a maximum cash payment not exceeding 10 % of the nominal value of the shares allocated or, where they have no nominal value, of their accounting par value. This 10% limit relates to the directive main regime for divisions but it admits exceptions
      •  ‘division by the formation of new companies’ is the operation whereby, after being wound up without going into liquidation, a company transfers to more than one newly-formed company all its assets and liabilities in exchange for the allocation to the shareholders of the company being divided of shares in the recipient companies, and possibly a cash payment not exceeding 10 % of the nominal value of the shares allocated or, where they have no nominal value, of their accounting par value. This 10% limit relates to the directive main regime for divisions but it admits exceptions

      • There are also provisions for divisions with cash payment  exceeding 10% and divisions where the company does not cease to exist
2.5 Special legal forms for cross-border business in the UE

Gatín

      •  Regulation 2157/2001 establishes a statute for a European Company (Societas Europea or European Company ‘SE’), i.e., an EU legal form for public limited liability companies, and allows companies from different Member States to conduct their business in the EU under a single European brand name.
        • Societas Europea / Sociedad Anónima Europea , here
      • Regulation 2137/85 sets out a statute for a European Economic Interest Grouping (EEIG), i.e. an EU legal form for a grouping formed by companies or legal bodies and/or natural persons carrying out economic activity coming from different Member States; the purpose of such a grouping is to facilitate or develop the cross-border economic activities of its members.
      • Regulation (EC) No 1435/2003  on the Statute for a European Cooperative Society (SCE). It aims to facilitate cooperatives’ cross-border and trans-national activities. The members of an SCE cannot all be based in one country. The regulation of the Statute for a European Cooperative Society (2003) aims to facilitate cooperatives‘ cross-border and trans-national activities. The statute also provides a legal instrument for other companies wishing to group together to access markets, achieve economies of scale, or undertake research and development activities. The Statute also enables 5 or more European citizens from more than one EU country to create a European Cooperative Society. This is the first and only form of a European company that can be established from the beginning and with limited liability (ie: it does not need to be formed by companies of different Member States or as a subsidiary as it is the case with the SE. The SCE allows its members to carry out common activities while preserving their independence;  its principal object is to satisfy its members’ needs and not the return on capital investment; its members benefit proportionally to their profit and not to their capital contribution.

Las principales autoridades y estructuras europeas de ciberseguridad

 

En el marco europeo de la ciberseguridad, se han ido articulando múltiples organismos y redes con funciones complementarias —regulación, coordinación, innovación, respuesta a incidentes— que permiten alcanzar un nivel más elevado de resiliencia digital, cooperar operativamente entre Estados miembros y generar un mercado interno más seguro.

1. Agencia de la Unión Europea para la Ciberseguridad (ENISA)

Teverga

La Agencia de la Unión Europea para la Ciberseguridad (ENISA) es la agencia comunitaria dedicada a alcanzar “un nivel elevado y común de ciberseguridad en la Unión” (UE) mediante asesoramiento técnico, intercambio de buenas prácticas, desarrollo de esquemas de certificación y colaboración estrecha con los Estados miembros, las instituciones de la UE y el sector privado.

Mandato y marco normativo

  • ENISA fue creada por el Reglamento (CE) n.º 460/2004, operativa desde 2005.
  • Su mandato se reforzó con el Reglamento (EU) 2019/881 —el llamado “Cybersecurity Act”—, que además creó un marco europeo de certificación de ciberseguridad y otorgó a ENISA un mandato permanente.

Funciones principales

  • Cooperación con los Estados miembros en materia de estrategias nacionales, preparación ante incidentes, fortalecimiento de capacidades (training, ejercicios, etc.).
  • Desarrollo de esquemas de certificación de productos, servicios y procesos TIC (en colaboración con otros órganos, con los Estados de la UE, y con organismos innternacionales).
  • Actuar como centro de conocimiento, generar informes sobre amenazas, vulnerabilidades, tendencias tecnológicas emergentes.
  • Más: Ver aqui

 

2. La red de CSIRTs Network de la UE

La Red de Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRTs Network) está compuesta por los equipos designados por los Estados miembros de la UE para la gestión de incidentes de ciberseguridad, junto con CERT‑EU. ENISA presta el secretariado de la Red y facilita la cooperación operativa.

Funciones principales: operativas y de coordinación

  • Intercambio de información sobre vulnerabilidades, amenazas, indicadores de compromiso entre CSIRTs nacionales y otros actores.
  • Coordinación de la respuesta a incidentes transfronterizos o que afectan múltiples Estados miembros, y asistencia en la divulgación coordinada de vulnerabilidades con impacto significativo en varios Estados.
  • Apoyo en el marco del Directiva NIS2 (y su antecesora) para asegurar una cooperación más sistemática entre los actores nacionales.

3. European Cyber Security Organisation (ECSO)

La European Cyber Security Organization (ECSO) es una asociación público‑privada (PPP) que reúne actores del sector empresarial, centros de investigación, autoridades públicas y otros stakeholders para fomentar la innovación, el mercado europeo de ciberseguridad y la cooperación público‑privada.

Ámbitos de actividad

  • Grupos de trabajo (Working Groups) que abarcan estandarización, certificación, cadena de suministro de ciberseguridad, inversiones y mercados, internacionalización.
  • Publicación de documentos de apoyo para la cadena de suministro europea de ciberseguridad, como listas de requisitos de “cyber ranges”, evaluación de mercado, etc.
  • Representación del sector privado en foros de la UE (por ejemplo, la participación en el Stakeholder Cybersecurity Certification Group – SCCG) para asesorar sobre certificación europea.

 

4. European Cybersecurity Certification Group (ECCG)

El European Cyber security group (ECCG) es un grupo integrado por representantes de los Estados miembros de la UE que asesora a la Comisión Europea y a ENISA en la implementación del marco de certificación de ciberseguridad en virtud del Reglamento (EU) 2019/881 (Cybersecurity Act).

Existen centros nacionales activos en el trabajo de este grupo

Funciones y estructura

  • Su misión es garantizar la aplicación coherente del marco de certificación de la UE, evitando la fragmentación de los esquemas nacionales y promoviendo la mutua aceptación de certificados.
  • Colabora con ENISA en el desarrollo de esquemas europeos como el EUCC (European Common Criteria) y otros futuros (servicios en la nube, IoT, etc.).

 

Sinergias y consideraciones de gobernanza

Estas cuatro estructuras no actúan de forma aislada, sino que presentan una arquitectura interconectada:

  • ENISA opera como nodo central de la estrategia, la normativa y la capacidad técnica.
  • La CSIRTs Network permite la dimensión operativa y de respuesta a incidentes en tiempo real, interrelacionada con ENISA y con los equipos de los Estados miembros.
  • ECSO representa la dimensión de mercado, innovación, industria y gobernanza colaborativa público‑privada.
  • ECCG asegura que el marco de certificación europeo sea coherente, homogéneo y reconocido en toda la UE, reduciendo la fragmentación y fortaleciendo el mercado interno.

La arquitectura europea de ciberseguridad —representada por ENISA, la red de CSIRTs de la UE, ECSO y el ECCG— constituye un mosaico integrado de regulación, operación, mercado e innovación. Para la empresa que opera en el entorno europeo y para los administradores que deben gobernarla, esta arquitectura ofrece tanto obligaciones como oportunidades: obligaciones de diligencia, reporte y adopción de estándares certificados; oportunidades de competitividad, confianza de mercado e integración en un ecosistema digital europeo seguro.