Glosario · Ciberseguridad de la UE Cyber Solidarity Act (Reglamento europeo de Solidaridad Cibernética (Reglamento 2024/2691))
Reglamento de la UE adoptado a finales de 2024 que establece un mecanismo coordinado entre Estados miembros para detectar, prepararse y responder a incidentes de ciberseguridad a gran escala. Financia el Escudo Europeo de Ciberseguridad, un Mecanismo de Emergencia Cibernética y un Mecanismo de Revisión de Incidentes.
## Qué es realmente la Cyber Solidarity Act
La Cyber Solidarity Act (Reglamento UE 2024/2691) es la respuesta de la UE a la constatación de que la capacidad de ciberseguridad sigue fragmentada entre los Estados miembros, mientras que la amenaza cibernética no lo está. El reglamento se acordó políticamente a principios de 2024 como parte del Paquete Europeo de Ciberseguridad, junto con modificaciones a la Cybersecurity Act y un reglamento sobre servicios gestionados.
Mientras que [NIS2](/es/glossary/nis2/) impone obligaciones a entidades individuales y la [Cyber Resilience Act](/es/glossary/cyber-resilience-act/) regula la seguridad de los productos, la Cyber Solidarity Act se centra en la *capacidad de respuesta colectiva a nivel europeo*: la capa de coordinación situada por encima de las autoridades nacionales de ciberseguridad.
## Los tres pilares
El reglamento crea tres mecanismos operativos, cada uno con su propia línea de financiación.
### 1. Escudo Europeo de Ciberseguridad
Una red federada de Centros de Operaciones de Seguridad (SOC) nacionales y transfronterizos. El Escudo combina:
- **SOC nacionales**: cada Estado miembro designa uno o varios SOC nacionales que reciben cofinanciación de la UE.
- **SOC transfronterizos**: agrupaciones de tres o más Estados miembros que operan una plataforma SOC compartida.
- **Intercambio de inteligencia sobre amenazas**: información en tiempo real que circula a través del Escudo, apoyada por analítica basada en IA.
- **Interfaz público-privada**: acceso controlado del sector privado a los datos del Escudo para entidades de confianza.
El objetivo declarado del Escudo es detectar las amenazas ciberneticas antes, compartir información de manera más rápida entre fronteras y crear una conciencia situacional a escala europea comparable a la que algunas grandes naciones tienen a nivel nacional.
### 2. Mecanismo de Emergencia Cibernética
La parte operativamente más novedosa del reglamento. El Mecanismo financia:
- **Acciones de preparación**: pruebas a entidades esenciales en sectores críticos (energía, sanidad, transporte, infraestructura digital) frente a amenazas conocidas.
- **Una nueva Reserva Europea de Ciberseguridad**: proveedores privados de confianza en estado de alerta para responder a incidentes significativos o a gran escala.
- **Asistencia mutua**: respuesta coordinada entre Estados miembros cuando los recursos de un país se ven desbordados.
- **Asistencia financiera** a los Estados miembros en proceso de recuperación.
La Reserva es operativamente similar a las listas de emergencia de protección civil, pero referida a empresas de ciberseguridad con competencias acreditadas a nivel europeo.
### 3. Mecanismo de Revisión de Incidentes de Ciberseguridad
Para los incidentes mayores, [ENISA](/es/glossary/enisa/) está ahora facultada para llevar a cabo revisiones estructuradas posteriores al incidente y publicar informes con lecciones aprendidas. El concepto es similar al de la revisión de incidentes de seguridad aérea: el aprendizaje institucional tratado como una función regulatoria.
## Por qué supone un cambio estructural
Tres razones por las que la Cyber Solidarity Act importa más allá de sus disposiciones concretas.
### La ciberseguridad pasa a ser competencia de la UE a nivel federal
Antes de 2024, la política europea de ciberseguridad se centraba sobre todo en armonizar obligaciones nacionales. La Cyber Solidarity Act crea una *capacidad operativa directa a nivel europeo*, financiada con presupuesto de la UE, coordinada por ENISA y ejecutada a través de los SOC y la Reserva. Esto se parece más al modo en que la UE opera en política monetaria o de competencia que al modo en que operaba en seguridad.
### Las empresas privadas de ciberseguridad de confianza ganan estatus regulatorio
La Reserva de Ciberseguridad crea una lista verificada de proveedores privados de ciberseguridad. Formar parte de la Reserva confiere una ventaja comercial significativa: es, en la práctica, un sello de competencia reconocida por la UE. Los criterios de verificación incluyen la ubicación de la sociedad, la transparencia accionarial y, de manera notable, la ausencia de exposición jurídica extracomunitaria.
### La solidaridad pasa a ser obligatoria, no voluntaria
La "solidaridad" del título no es aspiracional. El reglamento crea deberes legales de asistencia mutua durante incidentes significativos. Los Estados miembros no pueden simplemente negarse a ayudar, aunque los mecanismos de reparto de costes y de mando operativo todavía se están perfilando en los actos de ejecución.
## Financiación
La Cyber Solidarity Act se presupuesta dentro del Programa Europa Digital:
- **~1.100 millones de euros** para el periodo de implementación 2024-2027.
- Aproximadamente **400 millones de euros para el Escudo**, con cofinanciación de SOC nacionales.
- **Más de 300 millones de euros para el Mecanismo de Emergencia Cibernética**.
- El presupuesto restante se destina a la revisión de incidentes, formación y acciones de apoyo.
En 2027 estos importes se revisarán, con la expectativa generalizada de un aumento significativo si las primeras lecciones operativas lo justifican.
## Calendario de implementación
- **Cuarto trimestre de 2024**: adopción del reglamento y entrada en vigor.
- **Primer y segundo trimestre de 2025**: actos de ejecución de ENISA (requisitos de los SOC, criterios de la Reserva, protocolos de intercambio de inteligencia).
- **2025**: primeros SOC nacionales designados y cofinanciados.
- **2025-2026**: anuncio de los primeros consorcios transfronterizos de SOC.
- **2026**: firma de los primeros contratos marco de la Reserva de Ciberseguridad.
- **2026-2027**: primeros ejercicios operativos completos.
A fecha de 2026, el Escudo está parcialmente operativo. Varios consorcios transfronterizos de SOC están en marcha, entre ellos los que implican a Francia-Alemania-Bélgica y el clúster nórdico-báltico.
## Qué significa en la práctica
### Para las empresas europeas
La mayoría de las empresas no interactuará directamente con la Cyber Solidarity Act. Los beneficios llegan a través de la mejora de la inteligencia sobre amenazas del Escudo, que los CSIRT nacionales distribuirán. Indirectamente, la Reserva crea un grupo privado de alta calidad que las autoridades de los Estados miembros pueden movilizar con rapidez durante incidentes graves.
Para los proveedores de ciberseguridad, la Reserva es una oportunidad estratégica. Estar en la lista de la Reserva tiene un valor considerable. Esto se convertirá en un pilar competitivo diferenciador para las empresas europeas de ciberseguridad.
### Para los sectores regulados
Los sectores cubiertos por NIS2 (entidades esenciales e importantes) verán mejorar la inteligencia sobre amenazas que circula a través de los CSIRT nacionales. El Escudo está diseñado para que la detección sectorial de ciberincidentes sea más temprana y la coordinación entre Estados miembros más rápida.
### Para las empresas de ciberseguridad con sede en EE. UU.
La Reserva impone requisitos explícitos de jurisdicción europea. Las empresas con sede en EE. UU. no pueden participar directamente, en general, aunque pueden actuar como subcontratistas de contratistas principales validados a nivel europeo. Esto es coherente con el patrón más amplio fijado por [SecNumCloud](/es/glossary/secnumcloud/) y los discutidos criterios de soberanía del [EUCS](/es/glossary/eucs/).
### Para los compradores del sector público
La contratación pública de capacidad de ciberseguridad tenderá cada vez más a preferir o exigir la participación en la Reserva como criterio de cualificación. Varios Estados miembros ya están redactando directrices nacionales de contratación que elevan la pertenencia a la Reserva a un estatus obligatorio o casi obligatorio.
## Cyber Solidarity Act frente a NIS2 y CRA
| Aspecto | Cyber Solidarity Act | NIS2 | Cyber Resilience Act |
|--------|----------------------|------|----------------------|
| Objeto | Respuesta a nivel de la UE | Obligaciones a nivel de entidad | Requisitos a nivel de producto |
| ¿Acción europea financiada? | Sí (1.100 M EUR) | No | No |
| ¿Mecanismo transfronterizo? | Característica central | Solo coordinación | Mecanismo de mercado único |
| ¿Lista de proveedores privados? | Sí (Reserva) | No | No |
| ¿Operativiza ENISA? | De forma significativa | De forma moderada | De forma moderada |
| Vigencia | Desde 2024 | 2024 (transposición nacional) | Plena aplicabilidad en 2027 |
Los tres reglamentos forman conjuntamente la arquitectura europea de ciberseguridad posterior a 2024: productos (CRA), entidades (NIS2) y respuesta colectiva (Cyber Solidarity Act).
## Implicaciones prácticas
- **Para la mayoría de las empresas europeas**: regulación de fondo que mejora la inteligencia sobre amenazas disponible a través del CSIRT nacional.
- **Para los proveedores europeos de ciberseguridad**: la pertenencia a la Reserva es una oportunidad estratégica que conviene perseguir con decisión.
- **Para las empresas de ciberseguridad con sede en EE. UU.**: barrera estructural al acceso directo al sector público europeo, mitigable únicamente mediante modelos de empresa conjunta en la UE.
- **Para los compradores del sector público**: la pertenencia a la Reserva se está convirtiendo en una señal de contratación relevante.
¿Te resultó útil?
¡Gracias por tu opinión!