Ir al contenido principal
Bandera de la Unión Europea
españolespañol
Foro de la Iniciativa Ciudadana Europea

Certificación de control soberano de la UE para infraestructuras digitales críticas

Autor: Nikitas Bastas |
Actualizada el: 08 June 2026 |
Número de visitas: 617

Objetivos de la iniciativa

Pedimos a la Comisión Europea que proponga o apoye legislación dentro del marco de certificación de la ciberseguridad de la UE, incluido el Reglamento (UE) 2019/881 o cualquier acto sucesor, para crear un componente de certificación de control soberano de la UE opcional, basado en el riesgo y escalonado para los servicios de infraestructura digital crítica.


El componente debe ser distinto y complementario de la certificación de ciberseguridad solo en la nube, la certificación de ciberpostura de la entidad, las restricciones de proveedores de alto riesgo y las herramientas generales de riesgo de la cadena de suministro. Debe proporcionar una señal de nivel de servicio voluntaria y auditable sobre la resiliencia del control soberano.


Debe evaluar la apropiación efectiva y el control material; la jurisdicción y el control operativo de la UE sobre las funciones esenciales; riesgos jurídicos o de control corporativo de terceros países; dependencias esenciales de importancia relativa; salvaguardias contra el acceso o la injerencia ilícitos de terceros países; auditorías independientes, niveles de garantía y reevaluación tras cambios significativos.


El estado certificado debe poder utilizarse como criterio objetivo de contratación pública o transparencia cuando esté justificado por la ciberseguridad, la resiliencia, la protección de datos, la continuidad del servicio o la elección legal de los usuarios.


Disposiciones de los Tratados que considera pertinentes para la acción propuesta

artículos 114 y 16 del TFUE; cuando proceda, el artículo 53, apartado 1, el artículo 62 y el artículo 173 del TFUE, para la armonización del mercado interior, la protección de datos, la certificación de la ciberseguridad, el comercio de servicios, la resiliencia y la competitividad industrial de la UE.

Anexo sobre el tema, los objetivos y los antecedentes de la iniciativa

Asunto


La presente iniciativa se refiere a un componente de certificación de control soberano de la UE opcional, basado en el riesgo y escalonado para los servicios de infraestructura digital crítica, dentro del marco de certificación de la ciberseguridad de la UE en virtud del Reglamento (UE) 2019/881 o de cualquier acto sucesor.
 

No pide que se prohíban los proveedores extranjeros, el uso obligatorio solo en la UE, la censura, el cambio de Tratado o el aislamiento digital. Pide un mecanismo de la UE legal, voluntario y auditable para que los ciudadanos, las empresas, las autoridades públicas y las instituciones de la UE puedan identificar servicios que ofrezcan una mayor resiliencia frente al control de terceros países, la presión jurídica extranjera, las dependencias críticas opacas y el acceso ilegal a terceros países.
 

Esta iniciativa se basa, pero es distinta, del debate sobre la certificación en la nube de la EUCS. El EUCS se refiere a la certificación de la ciberseguridad en la nube. Esta iniciativa pide una base legislativa más amplia para un perfil de control soberano a nivel de servicio que abarque la infraestructura digital crítica, incluidos la nube, el alojamiento, el DNS, la CDN, la autoridad de certificación, la identidad y la autenticación, la ciberseguridad gestionada y otros servicios críticos de TIC.
 

Necesidad y laguna jurídica


La legislación de la UE ya aborda partes importantes del problema. El RGPD protege los datos personales. NIS2 refuerza los deberes de ciberseguridad para las entidades esenciales e importantes. La Ley de Datos aborda el acceso gubernamental ilícito de terceros países a los datos no personales conservados en la Unión por los proveedores de servicios de tratamiento de datos. El Reglamento de Ciberseguridad crea un marco de la UE para la certificación de la ciberseguridad.
 

Sin embargo, las herramientas existentes y propuestas no proporcionan necesariamente una señal de certificación de la UE clara, voluntaria, pública y de servicio para la resiliencia del control soberano. La certificación técnica de la ciberseguridad, la certificación de la ciberpostura de la entidad, las herramientas de riesgo de la cadena de suministro, las restricciones de los proveedores de alto riesgo y los esquemas solo en la nube no ofrecen por sí solos a los usuarios y compradores ordinarios una forma comparable de evaluar quién controla un servicio crítico, qué legislación puede cumplir sus funciones críticas y qué dependencias pueden afectar a la continuidad, la confidencialidad, la integridad o el acceso legal.
 

Un servicio puede ser técnicamente seguro y legalmente conforme, aunque siga dependiendo de los aviones de control de fuera de la UE, la influencia de la empresa matriz, las obligaciones legales de terceros países, la administración a distancia, el registro, la telemetría, el DNS, la CDN, los servicios de la autoridad de certificación, los sistemas de identidad, los servicios en la nube, las cadenas de suministro de software o los subcontratistas que los usuarios no puedan inspeccionar de manera realista.
 

Objetivos

La Comisión debe proponer o apoyar legislación para:
 

1. Crear un componente de certificación de control soberano de la UE opcional, basado en el riesgo y escalonado para los servicios de infraestructura digital crítica.
 

2. Exigir la evaluación de la propiedad efectiva y el control material, incluidos la titularidad real, el control de la sociedad matriz, los derechos de voto, la influencia de la junta directiva, el control contractual y otra influencia material sobre las decisiones pertinentes para la seguridad u operaciones críticas.
 

3. Exigir la evaluación de la jurisdicción de la UE y el control operativo de las funciones críticas, incluido el tratamiento de datos, la gestión de claves, el registro, la autenticación, la respuesta a incidentes, la administración de infraestructuras, los mecanismos de actualización y la administración a distancia.
 

4. Exigir la evaluación de las obligaciones jurídicas o los acuerdos de control corporativo de terceros países que puedan obligar al acceso, el secreto, la divulgación, la interferencia operativa o la transferencia de control sobre datos personales, metadatos, datos operativos no personales, registros de seguridad, sistemas administrativos u otras funciones esenciales.
 

5. Exigir la divulgación de las dependencias esenciales importantes, cuando proceda para el servicio certificado, incluidas las dependencias de alojamiento, nube, software, firmware, DNS, CDN, autoridad de certificación, identidad, telemetría, subcontratista y administración remota que puedan afectar a la confidencialidad, la integridad, la disponibilidad, el control administrativo, el acceso legal o la continuidad.
 

6. Exigir garantías técnicas, organizativas y jurídicas contra el acceso o la interferencia ilícitos de terceros países, incluida la tramitación documentada de las solicitudes de acceso, la impugnación legal cuando sea posible, los controles de acceso privilegiado, los registros de auditoría, la separación de funciones, la presentación de informes de transparencia y la gestión de claves controlada por la UE, cuando proceda.
 

7. Exigir auditorías periódicas independientes, resúmenes de auditoría pública, niveles de garantía mensurables, reevaluación después de cambios sustanciales y protección de secretos comerciales, detalles de seguridad sensibles e información clasificada.
 

8. Permitir que el estatus certificado se utilice como criterio objetivo de contratación pública y transparencia del mercado cuando esté justificado por la ciberseguridad, la resiliencia, la protección de datos, la continuidad de los servicios esenciales, las necesidades del sector público o la elección legal de los usuarios.
 

Pertinencia y cumplimiento
 

La iniciativa no es una lista negra ni una regla rígida de localización de datos. Se trata de un mecanismo de transparencia y garantía. Debe complementar EUCS, NIS2, la Ley de Datos, las medidas de la cadena de suministro de ciberseguridad y la futura política en la nube sin sustituirlas.
 

Apoya el mercado interior, la protección de datos, la ciberseguridad, la resiliencia y la soberanía tecnológica de la UE, al tiempo que sigue siendo voluntaria, proporcionada, basada en el riesgo y compatible con los mercados abiertos. Respeta las competencias de los Estados miembros, incluida la seguridad nacional, y la libertad de los ciudadanos y las entidades para mantener vínculos digitales con terceros países.

Categorías
1
Voto

Dejar un comentario

Para poder añadir un comentario, tienes que autenticarte o registrarte.

Comentarios

Usuario del Foro de la ICE  | 21 May 2026

Hola Nikitas,

Definitivamente no tengo experiencia en este tema o incluso en las ICE en su conjunto, pero tengo algunas ideas si crees que ayudarán.

1. Si bien es un gran tema, es más bien terminología pesada. Sería difícil hacer que no sea una terminología pesada porque ese es realmente el tema aquí. Así que no sé cómo ayudar. La CE estaría de acuerdo con esto, pero obtener 1 millón de firmas podría ser demasiado difícil si la gente no entiende el tema.

2. Creo que hubo una propuesta similar con el Sistema Europeo de Certificación de la Ciberseguridad para los Servicios en la Nube (EUCS). No estoy seguro de si tiene éxito o incluso si es una propuesta activa, pero sería bueno mencionarla, de modo que la CE no responda que al menos algunos de sus objetivos ya están cubiertos por la EUCS. Pero no soy un técnico, así que tal vez las propuestas son muy diferentes y no me di cuenta en un vistazo.

Aún así, piense que esta es una buena iniciativa que puede funcionar, pero tal vez se necesiten algunos pequeños ajustes y más ayuda externa.

Mis mejores deseos y buena suerte

Nikitas Bastas | 22 May 2026

¡Sí, tienes razón! Se superpone no solo con la propuesta de EUCS, sino también con las leyes y regulaciones existentes, los debates en curso, los planes futuros de la UE hacia la autodependencia digital, etc. 

Especialmente bajo ciertas circunstancias geopolíticas, finalmente se dio cuenta de que la autodependencia de la UE, no solo en la parte digital, sino en un sentido más amplio, ya no es una "agradable de tener", sino una necesidad absoluta.

Una razón que puede hacer que esta propuesta sea distinguible y valiosa como una modesta contribución / idea es que pide "un perfil de certificación voluntario, de alcance de servicio, basado en el riesgo y auditado de forma independiente para la resiliencia del control soberano en los servicios de infraestructura digital crítica", pero no limitado a los servicios en la nube (EUCS).

Una segunda razón podría ser que esta propuesta es solicitada por los ciudadanos europeos, no por los instrumentos de la UE, los responsables políticos, las personas micropolíticamente sesgadas. Desde esta perspectiva, puede enviar un mensaje claro a la Comisión de la UE, de la preocupación, el escepticismo, que muchos ciudadanos de la UE ya tienen hacia la alta dependencia digital y la exposición de datos sobre bienes digitales no pertenecientes a la UE.

banner
¿Vas a registrar una iniciativa?

¿Quieres apoyar una iniciativa? ¿Quieres informarte sobre iniciativas actuales o pasadas?

Ir a la web de la Iniciativa Ciudadana Europea