Guillem Alsina Gonzàlez
El desarrollo de una postura común en materia de ciberseguridad en el viejo continente ha seguido un camino progresivo impulsado por amenazas crecientes. La base de este movimiento se consolidó a finales del año 2022 con la adopción de una política comunitaria específica, seguida al año siguiente por las conclusiones del Consejo y un plan de implementación detallado. A finales de 2024, se incluyó el ámbito digital en el instrumento de Acción de Seguridad para Europa, se emitieron recomendaciones voluntarias para la defensa nacional y se publicó una declaración conjunta sobre la aplicación del derecho internacional en este entorno.
2025 estuvo marcado por la entrada en vigor de normativas de solidaridad cibernética y la consecución de hitos operativos militares y, en febrero, comenzó a aplicarse la legislación que busca fortalecer la capacidad de detección y respuesta ante incidentes. Poco después, en el mes de marzo, se presentó el documento estratégico para la preparación de la defensa europea, el cual identifica la inteligencia artificial, la computación cuántica y la guerra electrónica como áreas prioritarias de inversión.
En el mismo mes, la red operativa de los equipos de respuesta a emergencias informáticas militares alcanzó su capacidad operativa inicial. Las iniciativas de formación también avanzaron con el lanzamiento de redes de colaboración entre la industria y el mundo académico a mediados de año, culminando en julio con un acuerdo para establecer un mecanismo global de las Naciones Unidas sobre el comportamiento de los Estados en el uso de las tecnologías de la información.
Para evaluar todo este recorrido, las autoridades han elaborado el segundo informe anual de progreso, un documento de carácter restringido del cual se ha hecho público un resumen ejecutivo, y que se basa en el progreso de las instituciones comunitarias y en las respuestas proporcionadas por veinticinco estados miembro a un cuestionario.
Los datos recopilados muestran que una amplia mayoría de los países ha establecido mandos de ciberdefensa, integrados principalmente en sus fuerzas armadas, y disponen de estrategias internacionales publicadas. Así mismo, se constata la creación de estructuras interinstitucionales estandarizadas para la atribución de los ataques, un proceso que los gobiernos consideran de alta relevancia política y de competencia exclusivamente nacional.
Un aspecto central de la evaluación es la relación entre las esferas civil y militar y, en este ámbito, la casi totalidad de los gobiernos encuestados cuenta con marcos legales y acuerdos que formalizan la asistencia mutua y el intercambio de información entre las fuerzas militares y sus homólogos civiles.
A nivel operativo, se ha acordado iniciar la primera fase para establecer un centro de coordinación de ciberdefensa comunitario. Además, los programas europeos de financiación continúan apoyando a proyectos de investigación que benefician tanto al sector civil como al desarrollo de aplicaciones de doble uso.
Sin embargo, la mayor parte de los estados miembro todavía no incluye los requisitos militares cuando realiza evaluaciones de riesgo de sus infraestructuras críticas civiles. Las administraciones señalan que existen barreras legales y una separación estricta de responsabilidades que dificultan esta integración.
Por otro lado, y aunque la mitad de los países dispone de una estrategia de ciberdefensa dedicada, otros todavía la están desarrollando o la mantienen integrada en sus planes de seguridad nacional generales.
