En este artículo, Elena Bueso explica cómo ENISA se ha consolidado como pilar estratégico y qué retos definirán el futuro de la ciberseguridad europea.
Bajo un escenario donde las amenazas digitales son cada vez más complejas y persistentes, la Unión Europea ha adoptado un enfoque integral para reforzar su resiliencia cibernética.
En este nuevo ecosistema, la Agencia de la Unión Europea para la Ciberseguridad (ENISA) se ha consolidado como el eje articulador de la estrategia comunitaria, liderando desde la política hasta la acción operativa.
ENISA: un actor con peso institucional creciente
Desde su fundación en 2004, ENISA ha transitado de ser un organismo consultivo a convertirse en un actor clave con funciones operativas, estratégicas y regulatorias. El fortalecimiento de su mandato en 2019, mediante el Reglamento (UE) 2019/881, marcó un hito al dotarla de competencias en materia de certificación de ciberseguridad, coordinación de crisis, y desarrollo de capacidades.
➡️ Te puede interesar: La problemática del deepfake y la IA en la seguridad de las comunicaciones
En 2024 y 2025, el Consejo Europeo aprobó nuevas conclusiones destinadas a reforzar aún más el papel de ENISA, posicionándola como líder técnico y político frente a la creciente fragmentación de amenazas digitales. Hoy, ENISA es mucho más que un think tank técnico: es la columna vertebral de la ciberseguridad europea.
ENISA y la Directiva NIS2: de la estrategia a la implementación
Uno de los pilares de la arquitectura moderna es la Directiva NIS2, que reemplaza a la versión de 2016 y amplía significativamente el alcance de las obligaciones de ciberseguridad. ENISA ha sido instrumental en su desarrollo e implementación, brindando asistencia técnica a los Estados miembros, elaborando guías de buenas prácticas y promoviendo mecanismos de armonización.
Esta directiva impone exigencias estrictas a sectores considerados críticos (como salud, energía, transporte, financiero, entre otros) y obliga a implementar planes de gestión de riesgos, respuesta ante incidentes y medidas de seguridad para las cadenas de suministro. ENISA actúa como coordinador técnico, evitando interpretaciones dispares entre países y asegurando un enfoque común.
Respuesta ante incidentes y el Reglamento de Cibersolidaridad
La guerra en Ucrania y el incremento de ataques dirigidos a infraestructuras críticas (redes eléctricas, hospitales, gobiernos locales) aceleraron la adopción del Reglamento de Cibersolidaridad de la UE. Este marco legal —aprobado en 2024— propone un enfoque integral para detectar, prevenir y responder a cibercrisis paneuropeas.
➡️ Te puede interesar: Definición de deepfakes: origen del término y evolución tecnológica
ENISA coordina, junto con la red CyCLONe (Organización de Enlace para la Gestión de Cibercrisis), la respuesta ante amenazas transfronterizas. Además, lidera ejercicios masivos de simulación (como el «Cyber Europe») y proporciona apoyo técnico a los CSIRT nacionales (Equipos de Respuesta ante Incidentes de Seguridad Informática).
Este reglamento también incluye mecanismos de «solidaridad» entre países, como el despliegue de «equipos de ciberfuerza rápida» de la UE, cuya creación y entrenamiento están bajo supervisión directa de ENISA.
Academia Europea de Ciberseguridad: respuesta al déficit de talento
La carencia de profesionales especializados en ciberseguridad es uno de los mayores retos estructurales para Europa. ENISA ha impulsado la creación de la Academia Europea de Habilidades en Ciberseguridad, cuyo objetivo es estandarizar las competencias, crear rutas formativas certificadas y facilitar la movilidad laboral entre países. Esta iniciativa se coordina con universidades, centros de investigación y empresas, buscando alinear oferta y demanda con base en métricas de riesgo sectorial.
Además, ENISA ha desarrollado una taxonomía europea de perfiles profesionales en ciberseguridad, que será la base para programas de formación financiados por la UE en el marco de “Digital Europe”.
Certificación europea: seguridad desde el diseño
Uno de los grandes avances regulatorios fue la Ley de Ciberseguridad de la UE, que establece un marco de certificación armonizada para productos y servicios TIC. ENISA es la autoridad técnica responsable de diseñar y mantener estos esquemas.
La certificación voluntaria hoy puede convertirse en obligatoria para dispositivos conectados bajo el nuevo Reglamento de Ciberresiliencia, aprobado en octubre de 2024. Esto exigirá que fabricantes integren medidas de protección «by design» y «by default», con actualizaciones automáticas y mecanismos antifraude.
➡️ Te puede interesar: Neurodivergencia en ciberseguridad y análisis de inteligencia: una ventaja estratégica
El rol de ENISA será garantizar que estos esquemas sean tecnológicamente neutrales, viables para pymes y consistentes con estándares internacionales.
Protección sectorial: el caso del sistema sanitario
El sector sanitario se ha convertido en uno de los objetivos favoritos del cibercrimen. En 2024, múltiples hospitales europeos sufrieron ciberataques que interrumpieron servicios esenciales. Ante este escenario, la Comisión propuso la creación de un Centro de Ciberseguridad Sanitaria, que operará bajo ENISA.
Este centro ofrecerá herramientas prácticas, orientación y entrenamiento para hospitales, clínicas y proveedores tecnológicos del sector salud. Se espera que en 2025 entre en operación plena, con capacidad de emitir alertas tempranas, coordinar respuestas y ofrecer asistencia técnica en tiempo real.
Se trata de una iniciativa pionera en el mundo, donde ENISA funcionará como un «centro de mando cibernético sanitario» con vocación continental.
Cooperación internacional: geopolítica de la ciberseguridad
ENISA también tiene una dimensión exterior creciente. La agencia colabora con el Servicio Europeo de Acción Exterior (SEAE), Europol, OTAN y socios como Estados Unidos, Japón y Corea del Sur.
➡️ Te puede interesar: ¿Cómo la inteligencia artificial está transformando la ciberseguridad?
En un contexto donde la ciberseguridad es también diplomacia, ENISA participa en foros globales sobre gobernanza de internet, establece alianzas técnicas y promueve estándares europeos como modelo replicable. Esta proyección internacional refuerza la autonomía estratégica digital de la UE frente a actores que promueven modelos de control estatal o ciberrepresión.
Además, ENISA ha intensificado la cooperación con América Latina y África, donde comparte buenas prácticas en gestión de crisis, formación y protección de infraestructuras críticas.
Retos estructurales y líneas futuras de ENISA
A pesar del fortalecimiento institucional, ENISA enfrenta múltiples desafíos:
- Financiamiento y personal: aunque su presupuesto ha crecido, aún es limitado para asumir todas sus nuevas funciones operativas.
- Interoperabilidad nacional: muchos Estados miembros tienen niveles de madurez digital dispares, lo que complica la armonización técnica.
- Sobrerregulación: existe el riesgo de que el marco normativo europeo se vuelva excesivamente complejo, sobre todo para pymes.
En respuesta, ENISA ha propuesto una hoja de ruta 2025-2030, que incluye:Revisión de la Directiva NIS2 para adaptarse a tecnologías emergentes (IA, computación cuántica).
➡️ Si quieres adquirir conocimientos sobre ciberseguridad, te recomendamos los siguientes cursos formativos:
- Curso de Prevención y Gestión de Ciberriesgos y Ciberataques
- Curso-Certificado de Experto en Hacking Ético
- Curso-Certificado de Experto en Ciberinteligencia
- Curso de Director de Ciberseguridad
