Un tema de especial actualidad jurídica en la Unión Europea es la ciberseguridad. El debate jurídico público en estos momentos más importante concierne a la Propuesta de «Reglamento (europeo) de Ciberseguridad revisado» o «Cybersecurity Act 2», de 20 de enero de 2026, cuyo título es Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre la Agencia Europea de Ciberseguridad (ENISA), sobre el marco de certificación de ciberseguridad europea, sobre la seguridad en la cadena de suministro de las tecnologías de la información y la comunicación (TIC) y para derogar el Reglamento 2019/881.

Esta propuesta de revisión del actual Reglamento de 2019 descarta la vía del Derecho blando o de la complementariedad. Para la Comisión Europea debe optarse por la adopción de regulaciones vinculantes para forzar a los gobiernos europeos a excluir de sus redes de telecomunicaciones y otras infraestructuras críticas a proveedores extranjeros de alto riesgo. En concreto, de los cuatro problemas principales que han motivado esta revisión del Reglamento europeo de Ciberseguridad 2019/881, nos centraremos en la cuestión del aumento de los riesgos de seguridad en las cadenas de suministro de las TIC en sectores estratégicos, que es donde se plantean los problemas. En este aspecto concreto el debate es si ha de primar un planteamiento técnico o han de considerarse elementos políticos, a la hora de seleccionar a los proveedores de las cadenas de suministro de las TIC en estos sectores estratégicos muy críticos (como son la energía, el transporte, la banca, las infraestructuras de los mercados financieros, el sector sanitario, el agua potable, las aguas residuales, la infraestructura digital, la gestión de servicios de TIC, Entidades de la Administración pública -con exclusión del poder judicial, los parlamentos y los bancos centrales-, y el espacio) y en sectores críticos (servicios postales y de mensajería, gestión de residuos, fabricación, producción y distribución de sustancias y mezclas químicas, producción, transformación y distribución de alimentos, fabricación en general, proveedores de servicios digitales e investigación). Y en la propuesta de reglamento se aprecia la primacía de aspectos políticos en este tipo de toma de decisiones, bajo la determinación discrecional de con quién comerciar, a fin de evitar dependencias de países terceros en sectores estratégicos en las cadenas de suministro de las TIC, ya que se ha introducido ex novo un mecanismo de seguridad a nivel de la Unión para abordar los posibles riesgos no técnicos en sectores de alta criticidad y en esos otros sectores críticos ya indicados, generando así lo que la propuesta de Reglamento denomina el «Marco de confianza de la cadena de suministro de TIC».

Y es que este mecanismo de seguridad consiste en que el Grupo de Cooperación NIS (establecido en el artículo 14 de la Directiva -UE- 2022/2555 NIS 2), a solicitud de la propia Comisión o tres Estados miembros al menos, debe llevar a cabo evaluaciones coordinadas de los riesgos de seguridad de las cadenas de suministro críticas (artículo 99), con el objetivo de identificar los activos clave de las TIC de la correspondiente cadena de suministro de las TIC (artículo 102), así como los principales actores de amenazas, riesgos y vulnerabilidades que afecten a dichos activos. Elementos fundamentales de esta nueva regulación que introduce la propuesta de reglamento son la «Designación de terceros países que plantean problemas de ciberseguridad» (art. 100) y la «Identificación de proveedores de alto riesgo» (artículo 104).

Dicho artículo 100 de la propuesta de Reglamento de Ciberseguridad habilita a la Comisión Europea para que, tras una verificación ad hoc, a la luz de cinco indicadores que se exponen en ese mismo precepto (así, que el Derecho del país en cuestión requiera a sus empresas que le reporten información…, ausencia de recursos judiciales efectivos en ese país, o lagunas desde el punto de vista democrático o desde el punto de vista de la independencia de sus instituciones de control, etc.…), pueda concluirse que un tercer país plantea riesgos no técnicos «graves y estructurales» para las cadenas de suministro de TIC, y en consecuencia que, mediante un acto de ejecución, designe a dicho tercer país como país que plantea problemas de ciberseguridad para las cadenas de suministro de TIC. Por su parte, el artículo 104 prevé que, mediante actos de ejecución, la Comisión puede establecer listas de proveedores de alto riesgo para las cadenas de suministro de TIC, especificando expresamente que se realizará una evaluación inicial para identificar cuáles de los proveedores de alto riesgo de la lista están potencialmente establecidos en un tercer país que plantea problemas de ciberseguridad para las cadenas de suministro de TIC o están controlados por dicho tercer país, por una entidad establecida en dicho tercer país o por un nacional de dicho tercer país.

Las consecuencias de esta propuesta de regulación son drásticas para estos proveedores de alto riesgo. Así, de acuerdo con el artículo 103, estas evaluaciones coordinadas de riesgos de seguridad a nivel de la Unión no solo desarrollan escenarios de riesgo, sino que proponen medidas para mitigar los riesgos identificados, como, por ejemplo, las restricciones en el uso de productos de proveedores considerados de alto riesgo para activos críticos y de proveedores que sean entidades de un tercer país que plantea riesgos no técnicos graves y estructurales para las cadenas de suministro de TIC. Y se establece en el artículo 100 que los proveedores de alto riesgo no tendrán derecho, entre otros, a solicitar o ser titulares de certificados europeos de ciberseguridad, o a participar en procedimientos de contratación pública (…). Finalmente, el artículo 105 de la propuesta de Reglamento de Ciberseguridad prevé un sistema de exenciones para entidades establecidas en un tercer país o controladas por entidades de un tercer país que plantee problemas de ciberseguridad, con marcado carácter restrictivo (…).

Tenemos, pues, debate, ya que, al margen de propuestas doctrinales lege ferenda que se realizan en esta materia (siempre loables), está el planteamiento lege lata. Y precisamente desde este punto de vista lege lata, nos plantea dudas en Derecho el salto incorporado (por la propuesta de Reglamento europeo de Ciberseguridad) cuando establece en sus artículos 98 y ss. el «Marco de confianza de la cadena de suministro de TIC» con su mecanismo de seguridad a nivel de la Unión, para abordar los riesgos no técnicos en sectores de alta criticidad y en otros sectores, , permitiendo hacer listados de países y de empresas que serán vetados por motivos, en el fondo, políticos y comerciales. Motivos políticos y comerciales que no son sino parte conceptual de aquello que integra la «soberanía» de un país. Y es que el quid del Reglamento europeo de Ciberseguridad pasa a estar en posibles justificaciones no técnicas, sino puramente políticas, para la posible exclusión de países incluso y, por ende, de operadores, en el sentido expuesto supra. Y… qué es la soberanía nacional, si no es esto? Interesa observar el énfasis que pone la jurisprudencia del Tribunal Constitucional en materia de seguridad pública en torno a la idea de que dicha seguridad es una competencia exclusiva del Estado (por todas, STC 20/2023). Hay todo un bloque de constitucionalidad al respecto.

Profundizando en esta cuestión de la colisión entre normas europeas y Constituciones de Estados miembros, interesa afirmar que, después de numerosos debates durante las últimas décadas, se ha llegado a un cierto consenso en cuanto a los criterios de Derecho público llamados a solucionar este tipo de situaciones: por un lado, ha de regir la primacía del Derecho europeo, incluso tratándose de normas infraconstitucionales como son los Reglamentos de la Unión Europea. Pero, por otro lado, hay una excepción, en tanto en cuanto las Constituciones de los Estados miembros sigan expresando la idea de soberanía nacional (dentro de la que encajan indudablemente los aspectos políticos relativos a la seguridad pública nacional) o por posible colisión con derechos fundamentales o de valores constitucionales esenciales. En España es expresiva al respecto por ejemplo la Declaración 1/2004 del Tribunal Constitucional. Durante los últimos años se han dictado, por Tribunales Constitucionales, de distintos Estados miembros (Italia, Alemania, República checa, Polonia, etc.) sentencias redundando en este mismo planteamiento que hacemos. Al margen de lo anterior, desde este punto de vista jurídico-público constitucional, la propuesta de Reglamento europeo de Ciberseguridad plantea el debate de la alta discrecionalidad en el manejo o evaluación de estos criterios por parte de la Administración comunitaria o por el hecho de la posible discriminación de origen desde un punto de vista empresarial, o por el hecho de que el mecanismo de exención del artículo 105 del Reglamento europeo suponga una especie de prueba diabólica para la empresa. En conclusión, sin perjuicio del planteamiento lege ferenda, se nos plantean dudas lege lata en tanto en cuanto la Constitución española esté expresada en los términos que contiene.

Artículos relacionadosMás del autor

No hay comentarios

Dejar respuesta

Información básica de protección de datos. Responsable del tratamiento: Fundación esPublico. Finalidad: permitir la publicación de comentarios a los artículos del blog. Base jurídica: consentimiento que se entenderá otorgado al pulsar el botón "Publicar comentario". Destinatarios: público en general, la información que introduzca en el formulario será visible por todos los visitantes del blog. Ejercicio de derechos: de acceso, rectificación, supresión, oposición, limitación y portabilidad a través de dpd@espublico.com o en la dirección postal del responsable del tratamiento. Más información: Política de privacidad