La UE aprueba su Plan Director para afrontar las cibercrisis

Ante el auge de las ciberamenazas y su creciente complejidad, la Unión Europea ha dado un paso decisivo con la aprobación del Plan Director Cibernético, una hoja de ruta que marca un antes y un después en la preparación y respuesta ante incidentes cibernéticos a gran escala. La medida fue adoptada como recomendación del Consejo el pasado 6 de junio de 2025.

El objetivo es claro: contar con un marco común que permita a los Estados miembros y a las instituciones europeas coordinarse de forma rápida y eficaz frente a ciberincidentes capaces de paralizar infraestructuras críticas, afectar a la economía o poner en riesgo la seguridad pública. La premisa que lo sustenta es que, en un entorno digital interconectado, un ataque masivo puede superar la capacidad de respuesta de cualquier Estado por sí solo.

Algunos ejemplos de ataques ejecutados

Los expertos en ciberseguridad advierten desde hace años que los ataques informáticos ya no son simples incidentes técnicos, sino verdaderas crisis con impacto político, económico y social. Son episodios que desbordan las capacidades de respuesta de un solo Estado y afectan a múltiples países, infraestructuras críticas o instituciones democráticas.

El caso NotPetya (2017) ha sido el ciberataque más costoso de la historia. Con origen en Ucrania y atribuido a actores rusos, este malware disfrazado de ransomware se propagó rápidamente a escala global. Multinacionales como Maersk, Merck, FedEx o Rosneft vieron sus operaciones gravemente afectadas. Las pérdidas superaron los 10.000 millones de dólares. El caso evidenció cómo un solo ataque puede colapsar sectores estratégicos en varios países al mismo tiempo.

Ucrania es testigo de la guerra híbrida en tiempo real. Antes y durante la invasión rusa, Ucrania fue blanco de una oleada sostenida de ciberataques. Desde cortes de suministro eléctrico (como BlackEnergy en 2015) hasta sabotajes a bancos y ministerios mediante virus destructivos como WhisperGate o HermeticWiper. Estos episodios han sido clave para que la Unión Europea activara mecanismos conjuntos de apoyo y vigilancia en su frontera oriental.

El ataque con ransomware al Servicio Nacional de Salud irlandés (HSE), perpetrado en 2021 por el grupo Conti, dejó inoperativo el sistema durante semanas. Se cancelaron consultas, se perdieron historiales médicos y se detuvieron pagos. Y el Bundestag alemán fue víctima de un ciberataque masivo en 2015 que comprometió correos electrónicos de diputados. En años posteriores, se han detectado intentos de injerencia en elecciones en Francia, Países Bajos o incluso el Parlamento Europeo. El objetivo: espiar, manipular o desestabilizar democracias.

España no ha sido ajena al auge de las ciberamenazas. Casos como el ataque al Servicio Público de Empleo Estatal (Sepe) mediante ransomware, bloqueó sus sistemas durante semanas. En 2023 y 2024, el Consejo General del Poder Judicial (CGPJ) y otras instituciones judiciales sufrieron incidentes que afectaron servicios online y sistemas internos. El año pasado, se detectó una intrusión con acceso indebido a información sensible. La empresa municipal de electricidad de Ceuta sufrió un ciberataque que derivó en un apagón que afectó a gran parte de la ciudad (2021).

Desde 2022, se han producido filtraciones y accesos indebidos a datos personales de millones de clientes, que han afectado a compañías del IBEX-35 y a organismos con contratos públicos. Y fuentes oficiales (CCN-CERT, CNPIC) han alertado de ataques constantes a Infraestructuras de energía, transporte, defensa, telecomunicaciones, ministerios, agencias y sistemas de seguridad.

Ciberincidente o cibercrisis

El Plan distingue varios niveles de gravedad para tipificar y abordar los incidentes: el Incidente, que supone cualquier alteración que afecte la disponibilidad, integridad o confidencialidad de sistemas y datos. El Incidente Significativo, que genera una grave disrupción operativa o pérdida económica importante. El Ciberincidente a gran escala, que sobrepasa la capacidad de respuesta nacional o impacta a varios Estados miembros. Y la Crisis Cibernética que supone la existencia de un incidente de gran escala pone en jaque el mercado interior o la seguridad pública de la UE.

Principios rectores del Plan

El Plan se articula sobre tres ejes: Proporcionalidad, que supone que la mayoría de los incidentes deben ser gestionados a nivel nacional, la cooperación es voluntaria y se apoya en redes técnicas como los CSIRT (equipos de respuesta a incidentes); Subsidiariedad, en cuyo caso la UE solo interviene cuando el problema trasciende fronteras o supera las capacidades de un Estado. Y el pilar de la Complementariedad, en el que el Plan no sustituye, sino que refuerza los mecanismos europeos de gestión de crisis ya existentes (IPCR, ARGUS, SEAE, entre otros). El alcance es transversal. El Plan cubre cualquier sector o entidad afectada, desde infraestructuras sanitarias hasta sistemas financieros.

El Cyber Blueprint no impone obligaciones específicas y únicas a España, sino que establece un marco común y coordinado que todos los Estados miembros deben adoptar y en el que deben participar activamente.

Para España, esto significa integrar las directrices del plan en sus estructuras y procedimientos nacionales, y colaborar estrechamente con sus socios de la UE para una respuesta más eficaz y resiliente ante las crecientes ciberamenazas.

Tres niveles de respuesta

El Plan prevé, también, una respuesta en tres niveles: técnico, operativo y político. El nivel técnico supone el primer frente de detección y reacción. Aquí se sitúan: La Red CSIRT, que intercambia alertas e información técnica, el CERT-EU, que protege a las instituciones europeas; los Centros Cibernéticos Transfronterizos, que vigilan amenazas más allá de las fronteras; y el MICNET, que es la red militar europea de respuesta ante emergencias informáticas.

En el caso del nivel operativo, nos hallamos ante el puente entre lo técnico y lo político. Lo lidera EU-CyCLONe, que coordina la gestión de crisis cibernéticas en tiempo real. Le apoyan, además, ENISA, la Agencia Europea de Ciberseguridad, que proporciona análisis y organiza simulacros; la Comisión Europea, que vela por la coherencia general de la respuesta; Europol, que aporta capacidades de investigación frente al ciberdelito; y la Reserva de Ciberseguridad de la UE, que puede desplegar expertos en menos de 24 horas. Y respecto al nivel político, en el que toman las decisiones estratégicas.

El liderazgo recae en: El Consejo de la UE, mediante el Mecanismo Integrado de Respuesta Política a las Crisis (IPCR); la Presidencia del Consejo, que activa el IPCR cuando sea necesario; y en el Alto Representante para Asuntos Exteriores y Política de Seguridad, que lidera la vertiente diplomática y de ciberdefensa, en coordinación con el SEAE.

El Plan subraya la importancia de la preparación previa mediante el intercambio de información entre autoridades y con el sector privado, los ejercicios conjuntos con socios estratégicos como OTAN, Ucrania o los Balcanes y las evaluaciones periódicas del panorama de amenazas. EU-CyCLONe y la red CSIRT, con el apoyo de ENISA, tienen el encargo de desarrollar en el plazo de un año procesos detallados para garantizar la implementación efectiva del Plan.

Sinergias civiles y militares

Una de las grandes apuestas es fortalecer la cooperación entre estructuras civiles y militares. Para ello se establecerán protocolos de actuación conjunta entre actores como MICNET, la Conferencia de Comandantes Cibernéticos de la UE y redes civiles como EU-CyCLONe. Además, se busca intensificar la colaboración con la OTAN, incluyendo maniobras conjuntas de ciberseguridad.

EU-CyCLONe, en cooperación con la red CSIRT y otros actores, y con el apoyo de ENISA, deberá desarrollar, en el plazo de un año tras la publicación de la Recomendación, diagramas de flujo de procesos detallados que describan los flujos de información entre los actores relevantes, los procesos de toma de decisiones y los informes elaborados durante la gestión de un incidente de ciberseguridad a gran escala o una crisis cibernética. Esto garantizará una implementación coherente y efectiva del Plan Director. La evaluación continua del panorama de amenazas, los resultados de los ejercicios conjuntos y los cambios legislativos serán factores clave a considerar.

Arquitectura común y amenazas compartidas

La gestión de cibercrisis en la Unión se apoya así en una arquitectura multinivel y multisectorial. El Plan Director Cibernético refuerza la resiliencia colectiva de los Veintisiete, promoviendo una cultura de anticipación, cooperación y acción coordinada frente a amenazas digitales cada vez más sofisticadas. Su éxito dependerá, en última instancia, de la capacidad real de los Estados miembros y las instituciones para compartir información sensible, coordinar recursos y responder con agilidad ante un entorno tan cambiante como el cibernético.