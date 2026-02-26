El Reglamento de Ciberseguridad de la UE ha obtenido el rechazo de algunos expertos que cuestionan la solidez legal de la propuesta. La conocida como CSA 2.0 ha generado un debate jurídico en Europa.

Impulsada por la Comisión Europea y revisada en enero, la iniciativa refuerza el sistema común de certificación y pone el foco en los llamados “proveedores de alto riesgo”, lo que permite imponer restricciones y limitar el uso de determinados productos y servicios en sectores considerados críticos. Bruselas justifica la reforma por la necesidad de hacer frente a riesgos transfronterizos y reducir dependencias tecnológicas en un contexto geopolítico cada vez más complejo.

Sin embargo, más allá del objetivo declarado de reforzar la ciberseguridad, varios juristas cuestionan la solidez legal de la propuesta. Entre ellos, José Luís da Cruz Vilaça, ex presidente del Tribunal de Justicia de la Unión Europea (TJUE), quien en su reciente artículo 'Revisión del Reglamento sobre ciberseguridad: una propuesta controvertida y debatida', publicado en el portal de análisis jurídico de ADC EJIA, sostiene que la Comisión habría basado la reforma exclusivamente en la competencia de mercado interior (artículo 114 del Tratado de Funcionamiento de la UE), un ámbito compartido entre la UE y los Estados miembros. A su entender, dado que el contenido de la norma afecta a materias estrechamente vinculadas a la seguridad nacional, “no constituye una base jurídica adecuada para una propuesta como la CSA2”.

El jurista basa su crítica en el principio de atribución (artículo 5 del TUE), que establece que la Unión Europea solo puede actuar en las materias para las que tiene competencias expresamente reconocidas. También recuerda que el artículo 4 (apartado 2) del TUE reserva de forma expresa la seguridad nacional a los Estados miembros. Además, advierte de que los principios de subsidiariedad y proporcionalidad no pueden utilizarse para justificar una actuación de la Unión si esta no tiene competencia en esa materia.

Inestabilidad normativa

Otro de los puntos centrales de su análisis es la introducción del concepto de “proveedores de alto riesgo” y la posibilidad de identificar “países de riesgo”, decisiones que pueden tener efectos directos sobre el acceso al mercado y la actividad empresarial. A su juicio, la amplitud de estos conceptos y la concentración de facultades en la Comisión pueden generar problemas desde el punto de vista de la seguridad jurídica y del equilibrio institucional, especialmente cuando la reforma se enmarca en una estrategia más amplia de autonomía tecnológica europea. Además, advierte del riesgo de que una eventual impugnación ante el TJUE genere inestabilidad normativa si se cuestiona la base jurídica elegida.

En una línea también crítica se pronuncia Santiago González-Varas Ibáñez, catedrático de Derecho Administrativo en la Universidad de Alicante, en su artículo 'La seguridad pública a debate', publicado hace unos días en el blog especializado 'administracionpublica.com'. El autor sitúa el centro de la controversia en la selección de proveedores de las cadenas de suministro de tecnologías TIC y en el equilibrio entre criterios técnicos y consideraciones políticas. “El debate es si ha de primar un planteamiento técnico o han de considerarse elementos políticos, a la hora de seleccionar a los proveedores de las cadenas de suministro de las TIC”, señala.

González-Varas describe la propuesta como un “mecanismo de seguridad a nivel de la Unión” orientado a afrontar “riesgos no técnicos” en sectores de alta criticidad, a través del denominado “marco de confianza de la cadena de suministro de TIC”.

Este mecanismo prevé la designación de terceros países con problemas de ciberseguridad y la identificación de proveedores de alto riesgo mediante actos de ejecución, con posibilidad de imponer restricciones en el uso de sus productos.

Perspectiva jurídico-pública

Desde una perspectiva jurídico-pública, el autor advierte de las consecuencias de este “salto” cuando se permiten vetos por motivos “políticos y comerciales”, vinculándolo con la soberanía y con la seguridad pública como competencia exclusiva del Estado. Asimismo, señala la “alta discrecionalidad” en la aplicación de estos criterios, especialmente cuando se introducen riesgos no técnicos, lo que, a su juicio, plantea dudas sobre el control jurídico y el reparto de competencias.