La “cyber posture of entities” en la futura CSA2 y su fricción con la arquitectura de la Directiva NIS2

Lona con el lema «United for our Future», en francés, neerlandés e inglés, instalada en la fachada del edificio Berlaymont de la Comisión Europea en Bruselas.
Lona “United for our Future” en el edificio Berlaymont. Foto: European Union , 2024.
Carlos M. Galán
Carlos M. Galán
Publicado el 30 Jun 2026 //
Seguridad Internacional

Mensajes clave

  • La introducción del concepto de “cyber posture of entities” en la modificación de la Cybersecurity Act (CSA2) genera tensión jurídica con la Directiva NIS2 y debe eliminarse porque resulta estructuralmente incongruente con la lógica del sistema vigente.
  • La introducción altera el perímetro del propio modelo de certificación de la CSA y tiende a convertir en objeto certificable un estado organizativo global de las entidades.
  • Si la supresión no prosperase políticamente, la alternativa jurídicamente más razonable sería establecer mecanismos de reconocimiento europeo de esquemas nacionales de ciberseguridad ya implantados en los Estados miembros.

Análisis

La revisión del marco europeo de ciberseguridad abierta por la Comisión a comienzos de 2026 persigue, según la documentación oficial del paquete, alinear el sistema normativo de la Unión con un entorno de amenazas más sofisticado, desbloquear la aplicación del European Cybersecurity Certification Framework (ECCF), reducir la complejidad regulatoria que soportan los operadores y afrontar los riesgos crecientes de las cadenas de suministro TIC. Dentro de ese planteamiento general, la propuesta paralela de modificación de la NIS2 afirma expresamente que la reforma pretende promover la certificación como herramienta de cumplimiento y permitir el desarrollo de un esquema relativo a la “cyber posture of entities” para reducir costes de cumplimiento de las entidades sujetas a la propia NIS2 y a otras normas europeas de ciberseguridad.

La finalidad política de simplificación regulatoria y mejora de la coherencia horizontal del acervo de ciberseguridadv es, sin duda, legítima. Sin embargo, el instrumento elegido suscita una objeción metodológica y jurídica de gran calado: la “cyber posture of entities” no se limita a trasladar al nivel europeo una técnica ya existente, sino que altera el perímetro del propio modelo de certificación de la CSA y tiende a convertir en objeto certificable un estado organizativo global de las entidades. Ese desplazamiento no es neutro. Incide sobre el modo en que la NIS2 distribuye funciones entre la Unión Europa (UE), los Estados miembros, las autoridades competentes y las entidades reguladas; afecta a la intensidad de la armonización; y proyecta consecuencias relevantes sobre el mercado interior, en particular sobre operadores medianos o pequeños.

La tesis central de este estudio es doble. En primer lugar, la introducción del concepto de “cyber posture of entities” debe ser eliminada del futuro texto de la CSA2 y de las modificaciones concordantes de la NIS2, porque resulta estructuralmente incongruente con la lógica del sistema vigente. En segundo lugar, si políticamente no prosperase esa supresión, la alternativa jurídicamente más razonable no sería imponer un modelo europeo sustitutivo, sino establecer mecanismos de reconocimiento o equivalencia respecto de aquellos esquemas nacionales de ciberseguridad que ya se encuentren implantados por el derecho interno de los Estados miembros, hayan demostrado efectividad operativa y persigan objetivos homologables a los europeos.

Arquitectura vigente: la CSA como marco de certificación técnica y la NIS2 como régimen de gestión del riesgo y supervisión nacional

El punto de partida debe situarse en la distinta racionalidad de los dos instrumentos hoy vigentes. El Reglamento (UE) 2019/881 estableció un marco europeo de certificación de ciberseguridad pensado, en su diseño originario, para productos, servicios y procesos TIC. Se trata de objetos susceptibles de delimitación técnica, de definición ex ante de requisitos, de evaluación conforme a metodologías verificables y de expedición de certificados con un alcance relativamente preciso. La lógica de la certificación en la CSA es, así, una lógica de aseguramiento técnico y de confianza en el mercado interior.

Por su parte, la Directiva (UE) 2022/2555 responde a una lógica distinta. La NIS2 organiza un sistema de obligaciones de gestión del riesgo, gobierno interno, seguridad de la cadena de suministro, continuidad de negocio, gestión de incidentes, seguridad en la adquisición, desarrollo y mantenimiento de redes y sistemas, higiene básica, formación, cifrado y autenticación. Ese modelo se articula a través de la responsabilidad directa de las entidades esenciales e importantes y de la supervisión por autoridades nacionales competentes. No estamos ante un régimen de homologación organizativa a escala europea, sino ante un esquema de obligaciones materiales cuya concreción y control se inserta en la estructura administrativa de cada Estado miembro.

La propia NIS2, en su versión vigente, conoce la certificación europea, pero la ubica en un plano instrumental. El régimen de uso de esquemas europeos de certificación no sustituye la supervisión nacional ni transforma la certificación en canon autónomo y central de cumplimiento. En términos sistemáticos, la NIS2 admite que la certificación pueda servir para demostrar determinadas exigencias concretas, pero no reconfigura la esencia del cumplimiento organizativo de las entidades reguladas. Éste sigue descansando en la evaluación contextual del riesgo, en la capacidad de supervisión de las autoridades nacionales y en la responsabilidad del órgano de dirección de cada entidad.

Precisamente por ello, el material preparatorio aportado por España a las negociaciones subraya que la certificación, dentro de la NIS2, opera como instrumento auxiliar al servicio del marco regulatorio y no como sustitutivo de éste. Esa observación es jurídicamente decisiva: si el derecho vigente contempla la certificación como un mecanismo de apoyo para productos, servicios o procesos certificados, convertir ahora la “ciberpostura” global de una entidad en objeto autónomo de certificación europea equivale a modificar la naturaleza funcional del sistema.

La impropiedad conceptual y técnica de la “cyber posture of entities” como objeto certificable

La primera razón para oponerse a la nueva categoría es de técnica jurídica regulatoria. Un esquema de certificación requiere un objeto suficientemente definido. Productos, servicios y procesos TIC pueden someterse a estándares, perfiles de protección, metodologías de evaluación, niveles de garantía y parámetros de conformidad relativamente estables. En cambio, la “cyber posture of entities” designa un Estado organizativo complejo y dinámico, resultante de factores múltiples: gobernanza, cultura de seguridad, estructura corporativa, cadena de suministro, arquitectura tecnológica, dependencia de terceros, exposición sectorial, recursos financieros y humanos, e incluso contexto geopolítico. No es un objeto técnico delimitado, sino una resultante organizativa abierta.

Desde esta perspectiva, la categoría proyecta un problema clásico de indeterminación del objeto regulado. Cuanto más holístico sea el objeto de certificación, mayor será el riesgo de transformar la evaluación en un juicio global y estandarizado sobre la organización, no en una verificación técnica de requisitos determinados. La consecuencia práctica es doble: por un lado, aumenta la discrecionalidad material del diseño del esquema europeo y de los organismos de evaluación; por otro, se diluye la frontera entre certificación técnica y supervisión regulatoria.

A ello se suma un segundo problema: la duplicación funcional. Buena parte de los elementos que podrían integrar la “cyber posture” ya forman parte de las obligaciones de gestión del riesgo, supervisión, auditoría, documentación y control exigidas por la NIS2 y por normativas sectoriales complementarias. Certificar la “ciberpostura” significa, en la práctica, replicar por la vía certificadora un conjunto de exigencias organizativas que ya pertenecen al núcleo del derecho público de la supervisión. El riesgo no es sólo el solapamiento burocrático; es también la confusión entre dos lógicas normativas distintas: la del cumplimiento regulatorio y la del aseguramiento técnico mediante certificación.

En tercer lugar, la noción tiende a homogeneizar lo que, por naturaleza, debe conservar un grado apreciable de adaptación nacional y sectorial. La ciberseguridad organizativa no se agota en controles abstractos; depende del estatuto de la entidad, de si opera en sectores críticos, de la relación entre seguridad nacional y administración pública, del régimen de supervisión interna y externa y de la interacción con instrumentos nacionales ya consolidados. Convertir esa realidad en un molde europeo uniforme implica ignorar que, en numerosos ámbitos, la eficacia de la ciberseguridad deriva precisamente de su contextualización.

La fricción con la NIS2: de la certificación auxiliar al riesgo de sustitución del control regulatorio

La objeción principal es, sin embargo, de coherencia sistémica. La documentación oficial que acompaña a la propuesta de 20 de enero de 2026 afirma que la reforma persigue promover la certificación como herramienta de cumplimiento y permitir un esquema sobre la “cyber posture of entities” para reducir costes regulatorios. Además, el texto explicativo de la propuesta de modificación de la NIS2 indica que se pretende facilitar a entidades y proveedores la demostración del cumplimiento, permitiendo que las entidades reguladas obtengan certificados en el marco de esquemas organizativos desarrollados dentro del ECCF. Esta formulación revela que la certificación deja de concebirse sólo como medio probatorio periférico y pasa a presentarse como pieza estructural del cumplimiento organizativo.

Ese desplazamiento entra en tensión con la arquitectura descentralizada de la NIS2. En el régimen vigente, la gestión del riesgo y la supervisión se apoyan en la valoración contextualizada realizada por autoridades nacionales competentes, que conocen la estructura administrativa, los sectores críticos, la distribución interna de competencias y las sensibilidades de seguridad nacional del respectivo Estado miembro. La certificación europea de la “cyber posture” corre el riesgo de desplazar el centro de gravedad del estándar organizativo desde ese plano nacional hacia un estándar europeo uniformado y evaluado mediante procedimientos certificadores.

La tensión se manifiesta, al menos, en tres niveles. Primero, en el nivel del estándar. Si el esquema europeo describe con suficiente densidad técnica lo que debe entenderse por “ciberpostura” adecuada, el contenido efectivo del cumplimiento organizativo tenderá a ser fijado en la práctica por el esquema de certificación y no por el juego conjunto entre la Directiva, su transposición y la supervisión nacional. Segundo, en el nivel probatorio. Si la certificación se presenta como instrumento de simplificación y reducción de cargas, las entidades y los supervisores tenderán naturalmente a conferirle una presunción de conformidad, aunque formalmente no sustituya por completo los poderes de supervisión. Tercero, en el nivel institucional. El peso de organismos certificadores y de la gobernanza europea del esquema puede reducir, al menos funcionalmente, la centralidad de las autoridades nacionales competentes.

Por ello, el problema no reside sólo en que la propuesta pueda coexistir formalmente con la NIS2, sino en que puede desnaturalizarla materialmente. En un sistema de derecho administrativo regulatorio, las presunciones de cumplimiento y los instrumentos de prueba modifican el reparto real del poder normativo y supervisor. Una certificación europea de la “ciberpostura” puede terminar operando, de facto, como parámetro central del cumplimiento, incluso aunque el legislador no le atribuya expresamente efectos automáticos plenos. Y esa deriva es precisamente la que los documentos españoles aportados advierten al insistir en que la certificación no debe convertirse en un mecanismo sustitutivo del control regulatorio nacional.

Subsidiariedad, proporcionalidad y respeto a las funciones esenciales del Estado

La incompatibilidad material del nuevo concepto se intensifica cuando se examina a la luz de los principios estructurales del derecho de la Unión. El artículo 5.3 TUE exige que, en las materias que no sean de competencia exclusiva, la Unión sólo intervenga si y en la medida en que los objetivos de la acción pretendida no puedan ser alcanzados de manera suficiente por los Estados miembros y puedan lograrse mejor a escala de la Unión. El artículo 5.4 TUE impone, además, que el contenido y la forma de la acción de la Unión no excedan de lo necesario para alcanzar los objetivos de los Tratados. Y el artículo 4.2 TUE obliga a respetar las funciones esenciales del Estado, incluida la salvaguardia de la seguridad nacional.

Ahora bien, la seguridad organizativa de las entidades –particularmente cuando afecta a administraciones públicas, operadores críticos o infraestructuras sensibles– no es una materia neutra desde el punto de vista constitucional europeo. Su configuración está conectada con la organización administrativa de cada Estado, con sus modelos de supervisión, con la articulación entre autoridades civiles y órganos de seguridad y, en algunos casos, con exigencias directamente vinculadas a la seguridad nacional. De ahí que la propia CSA vigente preserve expresamente el espacio estatal en esta materia y que, según recuerda la documentación negociadora española, sus considerandos permitan a los Estados mantener esquemas nacionales por razones de seguridad nacional.

Si existen ya marcos nacionales eficaces, jurídicamente implantados y operativos, no parece acreditado que sea necesario introducir una certificación europea de la “ciberpostura” con vocación sustitutiva o centralizadora. El objetivo legítimo de reducir la fragmentación y simplificar el cumplimiento puede alcanzarse por vías menos intrusivas: cooperación técnica, guías comunes, metodologías de comparación, reconocimiento de equivalencias o articulación entre esquemas. La opción más intensa –crear un objeto certificable nuevo, de alcance organizativo, potencialmente homogeneizador– sólo sería defendible si se demostrara que los Estados miembros carecen de medios suficientes o que los marcos existentes impiden estructuralmente el mercado interior. El material disponible no demuestra eso.

En términos de proporcionalidad, la crítica es aún más clara. No toda armonización útil es jurídicamente proporcionada. Debe elegirse, entre las medidas aptas, la menos restrictiva del espacio competencial estatal y la menos gravosa para los destinatarios. Un mecanismo de reconocimiento de esquemas nacionales maduros permite alcanzar simultáneamente seguridad jurídica, simplificación y convergencia material, preservando la inversión institucional ya realizada por los Estados miembros. Frente a ello, la certificación europea de la “cyber posture of entities” supone una intervención más intensa y menos respetuosa con la diversidad funcional del ecosistema europeo de ciberseguridad.

Efecto sobre el mercado interior: simplificación declarada, concentración potencial

Uno de los argumentos centrales de la Comisión es que el nuevo esquema reduciría costes de cumplimiento y aliviaría cargas administrativas. Esa promesa merece una lectura crítica. En abstracto, es cierto que una certificación única podría disminuir la multiplicidad de exigencias formales para operadores transfronterizos. Pero ese efecto beneficioso no debe presumirse sin más, porque depende del diseño del esquema, de su coste de acceso, de la frecuencia de auditoría, del grado de superposición con controles nacionales y sectoriales y de la capacidad real de las entidades para sostener procesos certificadores complejos.

En este punto, los documentos aportados por España aciertan al advertir de un riesgo de ventajas estructurales para grandes operadores con mayor músculo financiero, jurídico y técnico. Los operadores de gran tamaño pueden internalizar departamentos de compliance, consultoría y certificación con relativa facilidad; en cambio, para entidades medianas y pequeñas la certificación organizativa europea puede transformarse en una barrera de entrada o permanencia. El resultado paradójico sería que una medida concebida para simplificar y armonizar termine favoreciendo la concentración del mercado y debilitando el tejido empresarial europeo que la Unión declara querer proteger.

Además, la existencia de esquemas nacionales maduros demuestra que la convergencia material no exige necesariamente uniformidad formal plena. Cuando un esquema nacional ha creado un ecosistema de auditoría, certificación, supervisión y aprendizaje institucional durante años, su sustitución abrupta por un esquema europeo puede destruir valor regulatorio acumulado y obligar a duplicar inversiones. Desde la perspectiva del mercado interior, eso no siempre mejora la competencia; a veces la empeora, al desincentivar operadores locales y fortalecer a actores con capacidad para navegar regímenes complejos y múltiples jurisdicciones.

En suma, la simplificación no puede medirse sólo por la elegancia teórica del diseño normativo. Debe evaluarse en términos de costes de transición, coste regulatorio agregado, efectos sobre la competencia y conservación del capital institucional existente. A la luz de esos parámetros, la eliminación de la “cyber posture of entities” aparece como la opción más prudente. Y, subsidiariamente, el reconocimiento de esquemas nacionales consolidados ofrece una solución más afinada y menos distorsionadora.

La alternativa jurídicamente razonable: reconocimiento, equivalencia o acomodación funcional de esquemas nacionales consolidados

Si, pese a las objeciones anteriores, el proceso legislativo europeo decidiera mantener alguna forma de certificación organizativa, el diseño debería reformularse sobre una base distinta. La clave no debería ser la sustitución del espacio regulatorio nacional, sino su articulación con el nivel europeo. Para ello, el futuro texto debería prever expresamente mecanismos de reconocimiento, equivalencia o acomodación funcional de los esquemas nacionales de ciberseguridad ya implantados legalmente en los Estados miembros y dotados de madurez técnica y eficacia operativa acreditadas.

Esa solución no sería extraña al derecho de la Unión. El propio marco europeo de certificación presupone la necesidad de identificar esquemas nacionales o internacionales comparables y de gestionar su relación con los esquemas europeos. La documentación negociadora española apunta, con acierto, a que la Unión incluso contempla la posible equivalencia de esquemas de terceros países; con mayor razón debería poder diseñar fórmulas de reconocimiento intraeuropeo respecto de marcos nacionales asentados en el derecho de un Estado miembro y alineados con objetivos europeos comparables.

El reconocimiento podría articularse mediante varios instrumentos acumulables:

  • una evaluación técnica por ENISA, con participación decisiva del European Cybersecurity Certification Group (ECCG), sobre el grado de alineación material entre el esquema nacional y los objetivos del eventual esquema europeo;
  • una decisión de equivalencia limitada a determinados requisitos o niveles;
  • la posibilidad de coexistencia temporal o permanente cuando concurran razones de seguridad nacional o una implantación consolidada que haga desproporcionada la extinción automática del esquema nacional; y
  • reglas claras sobre los efectos de esa equivalencia en términos de demostración del cumplimiento, evitando al mismo tiempo presunciones absolutas que vacíen la supervisión nacional.

Un mecanismo de este tipo permitiría alcanzar varios fines legítimos a la vez: conservaría la coherencia del mercado interior, aprovecharía la experiencia acumulada por los Estados miembros, reduciría la duplicación regulatoria, preservaría inversiones institucionales y respetaría mejor los principios de subsidiariedad y proporcionalidad. Sobre todo, evitaría el error de tratar como tabula rasa un ámbito en el que ciertos Estados ya han construido, durante años, sistemas robustos de certificación organizativa.

El caso español del Esquema Nacional de Seguridad como ejemplo de madurez regulatoria

El caso español resulta especialmente ilustrativo. El Esquema Nacional de Seguridad (ENS), hoy regulado por el Real Decreto 311/2022, de 3 de mayo, no es una iniciativa reciente ni experimental. Constituye un marco jurídico consolidado que, desde hace más de 15 años, ha estructurado la seguridad de los sistemas de información del sector público español y de sus proveedores, articulando principios, requisitos mínimos, categorías de sistemas, medidas de seguridad, auditoría y mecanismos de certificación. Esa experiencia ha permitido elevar la madurez en ciberseguridad y desarrollar un ecosistema de certificación operativo y fiable.

El valor jurídico del ENS no reside sólo en su antigüedad. Reside en que representa un esquema organizativo integrado en el derecho administrativo nacional, conectado con la estructura institucional española y adaptado a las necesidades de seguridad del sector público y de sus relaciones con contratistas y prestadores. Su eficacia no se explica únicamente por el contenido técnico de sus requisitos, sino por la forma en que se inserta en la organización del Estado, en la contratación pública, en la gobernanza de la ciberseguridad y en la cultura de cumplimiento de los operadores afectados.

Desde una perspectiva europea, el ENS ofrece una enseñanza relevante: la ciberseguridad organizativa puede desarrollarse con alto grado de exigencia, auditabilidad y fiabilidad sin necesidad de desposeer a los Estados miembros de su capacidad de diseño institucional. Por ello, la alternativa jurídica más sensata no es sustituir marcos como el ENS por una certificación europea única de “ciberpostura”, sino aprovechar esa experiencia para construir mecanismos europeos de interoperabilidad, reconocimiento y comparación sustantiva.

En otras palabras, el ENS demuestra que los esquemas nacionales consolidados no son necesariamente un obstáculo para el mercado interior; pueden ser, al contrario, una fuente de conocimiento regulatorio y una base empírica útil para la construcción europea. Ignorar esa realidad en nombre de una uniformidad abstracta sería normativamente costoso y estratégicamente poco inteligente.

Propuesta de política legislativa y de técnica normativa

De lege ferenda, la mejor solución consistiría en eliminar del texto proyectado de la CSA2 y de las modificaciones concordantes de la NIS2 toda referencia a la “cyber posture of entities” como objeto autónomo de certificación europea. Con ello se preservaría la naturaleza técnico-certificadora del marco europeo y la lógica descentralizada de la NIS2. La Unión seguiría pudiendo impulsar esquemas de certificación para productos, servicios y procesos TIC, así como metodologías comunes, orientaciones y cooperación reforzada, sin invadir el espacio propio de la supervisión organizativa nacional.

Si esa supresión no fuera políticamente viable, el legislador europeo debería, al menos, introducir cuatro salvaguardas expresas. Primera: declarar inequívocamente que la certificación organizativa, en caso de existir, no sustituye ni limita las competencias de las autoridades nacionales competentes en materia de supervisión, inspección y adopción de medidas correctoras. Segunda: excluir cualquier efecto automático de presunción plena de cumplimiento respecto de las obligaciones organizativas generales de la NIS2. Tercera: prever un sistema de equivalencia o reconocimiento de esquemas nacionales maduros, posiblemente con evaluación técnica de ENISA y participación sustancial del ECCG. Cuarta: garantizar la pervivencia o coexistencia de esquemas nacionales cuando respondan a razones de seguridad nacional o cuando su sustitución resulte desproporcionada.

En paralelo, la reforma debería cuidar la precisión conceptual. Si el legislador optase por mantener alguna categoría organizativa certificable, debería delimitar con gran rigor su alcance, restringiéndolo a módulos concretos y verificables, evitando definiciones holísticas y excluyendo toda lectura que permita equiparar la certificación a una homologación general de la organización. Cuanto más amplio y abierto sea el objeto, mayor será el riesgo de inseguridad jurídica y de invasión funcional del terreno propio de la supervisión pública.

Desde esta óptica, la posición española que emerge de los documentos analizados presenta una notable solidez jurídica: apoya la ambición europea, pero exige objetividad técnica, proporcionalidad, seguridad jurídica, respeto de las competencias nacionales y aprovechamiento de marcos ya existentes. No es una posición defensiva en sentido estrecho; es una propuesta de mejor regulación.

Conclusiones

La futura revisión del marco europeo de ciberseguridad ofrece una oportunidad relevante para mejorar la coherencia normativa de la Unión. Sin embargo, precisamente por su trascendencia, la reforma no debería introducir categorías conceptualmente inadecuadas o institucionalmente desestabilizadoras. La “cyber posture of entities” presenta ambas características. Convierte en objeto certificable un estado organizativo global y cambiante; difumina la frontera entre certificación técnica y supervisión regulatoria; tensiona la arquitectura descentralizada de la NIS2; y puede producir efectos desproporcionados sobre las competencias de los Estados miembros y sobre el mercado interior.

La opción preferible es, por tanto, su supresión del texto proyectado. Esa solución es la más coherente con la naturaleza originaria del ECCF, con la función instrumental que la certificación desempeña en el régimen NIS2 y con los principios de subsidiariedad y proporcionalidad. Ahora bien, incluso si esa vía no prosperase, el derecho de la Unión dispone de una salida más equilibrada que la uniformización sustitutiva: reconocer o acomodar funcionalmente los esquemas nacionales de ciberseguridad que ya hayan demostrado madurez, eficacia y compatibilidad material con los objetivos europeos.

España puede sostener esa tesis con especial legitimidad a la vista de la experiencia acumulada por el ENS. Lejos de ser una excepción incómoda, el ENS constituye la prueba de que la ciberseguridad organizativa puede articularse con éxito desde los ordenamientos nacionales y, al mismo tiempo, contribuir al fortalecimiento del mercado interior europeo. La construcción de una Europa más segura no exige borrar esa experiencia; exige integrarla inteligentemente.