La propuesta de reforma de la Ley de Ciberseguridad (CSA2) representa un elemento de implicación directa para los operadores de sistemas de distribución eléctrica, quienes gestionan infraestructuras críticas en un entorno de riesgos cibernéticos crecientes e interdependencia tecnológica. En tal sentido, la consolidación de las competencias de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) se percibe como una medida necesaria para reducir la fragmentación normativa y fortalecer la coordinación operativa en todo el territorio comunitario. No obstante, este incremento de responsabilidades debe gestionarse con una priorización técnica rigurosa que evite el solapamiento de funciones y garantice una estructura administrativa eficiente que no dificulte la operatividad de los estados miembros. A este respecto, la creación de un punto de entrada único para el reporte de incidentes se perfila como una solución indispensable para simplificar las obligaciones de las entidades críticas, siempre que su diseño respete los canales nacionales ya existentes y promueva una comunicación bidireccional efectiva. Debido a que los operadores industriales a menudo carecen de retroalimentación tras informar sobre amenazas, resulta esencial que el nuevo marco facilite el intercambio de información útil que fortalezca la defensa colectiva frente a ataques sofisticados. Por añadidura, la inclusión formal y estructurada de los operadores de redes eléctricas en los órganos de gobernanza y asesoramiento de ENISA es un requisito perentorio para asegurar que las directrices técnicas se ajusten a las limitaciones prácticas y realidades operativas del sector energético. Sin una vinculación directa con quienes gestionan la infraestructura física, las políticas de ciberseguridad corren el riesgo de volverse ineficaces frente a las amenazas reales que enfrentan las redes inteligentes de distribución en el corto y mediano plazo.

Simultáneamente, la introducción del Marco Europeo de Certificación de la Ciberseguridad genera una serie de interrogantes sobre su aplicabilidad y el impacto económico que podría suponer para la industria eléctrica en su conjunto. Si bien la certificación pretende armonizar los estándares de seguridad, existe el riesgo latente de que se convierta en una carga burocrática redundante que duplique requisitos ya cubiertos por normativas internacionales consolidadas, como los estándares ISO 27001 o los marcos desarrollados por el NIST. Puesto que la obtención de certificados de alto nivel requiere una inversión masiva de recursos financieros y humanos, esta medida podría desincentivar la participación de proveedores tecnológicos de menor tamaño, reduciendo de este modo la diversidad del mercado y la competencia saludable. De igual manera, los procesos de certificación excesivamente lentos o rígidos resultan incompatibles con la naturaleza dinámica de la innovación digital, lo que podría obstaculizar de forma severa el despliegue de nuevas soluciones tecnológicas destinadas a la modernización de las redes eléctricas. A este respecto, se observa que la falta de madurez en el ecosistema de certificación actual, evidenciada por la escasez de esquemas disponibles y los largos plazos de desarrollo técnico, sugiere que este instrumento debe mantener un carácter opcional y flexible en lugar de una obligación rígida e inflexible. Por este motivo, cualquier esquema futuro debe fundamentarse en la colaboración estrecha con los actores industriales y en el reconocimiento mutuo de los estándares internacionales de probada eficacia técnica.

Por otra parte, la protección de la cadena de suministro de tecnologías de la información se posiciona como una prioridad medular para salvaguardar la integridad de las redes de energía frente a amenazas sistémicas que podrían comprometer la seguridad nacional. Aunque se apoya el establecimiento de evaluaciones de riesgo coordinadas a nivel europeo, resulta indispensable que estas auditorías sigan un enfoque estrictamente basado en el riesgo real y en evidencias técnicas verificables, evitando sesgos de nacionalidad que puedan distorsionar el mercado y limitar el acceso a tecnologías de punta. En este contexto, cualquier restricción impuesta a proveedores de componentes debe ser el resultado de un análisis de proporcionalidad exhaustivo que considere la continuidad del servicio y los ciclos de vida extremadamente largos de los activos de infraestructura eléctrica. Visto que el reemplazo apresurado de equipos críticos no es factible desde una perspectiva técnica ni económica, se recomienda la implementación de fases de transición cuidadosamente alineadas con los periodos naturales de renovación de los activos industriales. Además, la transparencia en los procesos de evaluación de riesgos es un factor determinante que permitiría a los operadores anticipar posibles cambios regulatorios y gestionar de forma proactiva sus dependencias estratégicas ante posibles interrupciones del suministro. Por consiguiente, es necesario que estas medidas se coordinen con los marcos sectoriales existentes, garantizando que las decisiones regulatorias no comprometan objetivos políticos de mayor alcance, como la resiliencia climática y la transición energética, ni impidan que los proveedores confiables escalen su producción para mantener la seguridad europea.

Para leer más ingrese a:

https://www.edsoforsmartgrids.eu/edso-publications/e-dso-submits-industry-feedback-on-the-cybersecurity-act-2-csa2/

https://www.edsoforsmartgrids.eu/content/uploads/2026/05/e.dso-feedback-on-csa2.pdf