La Comisión Europea ha presentado un plan de acción para responder a los riesgos que plantean los modelos avanzados de inteligencia artificial en materia de ciberseguridad y, al mismo tiempo, aprovechar su potencial para reforzar la protección digital.
El objetivo de Bruselas es articular una respuesta coordinada entre Estados miembros, industria y organismos europeos ante una tecnología que puede ser utilizada tanto para detectar y corregir vulnerabilidades como para automatizar ataques, identificar fallos de seguridad y aumentar la velocidad y escala de los incidentes cibernéticos.
Evaluación de modelos antes de llegar al mercado europeo
El plan se apoya en el marco regulatorio europeo ya aprobado en materia de inteligencia artificial y ciberseguridad. La Comisión recuerda que, bajo el Reglamento de Inteligencia Artificial, los modelos avanzados deberán ser evaluados y contar con medidas de mitigación de riesgos antes de su entrada en el mercado de la Unión Europea.
Para reforzar esa capacidad de evaluación, Bruselas lanzará una convocatoria específica para crear una capacidad europea de evaluación de inteligencia artificial, también en materia de ciberseguridad. La previsión es que esté operativa en 2027.
Esta nueva estructura contribuirá a las funciones regulatorias de la Oficina de IA y reforzará la evaluación independiente de capacidades y riesgos de los modelos avanzados.
Acceso estructurado a modelos avanzados
La Comisión también trabajará con la Agencia de la Unión Europea para la Ciberseguridad, ENISA, en una guía europea para ordenar el acceso de organizaciones públicas y privadas a capacidades avanzadas de inteligencia artificial con fines de ciberseguridad.
El objetivo es establecer condiciones claras y transparentes para que entidades europeas puedan utilizar estos sistemas en tareas de prevención, detección y respuesta frente a ciberataques.
Pruebas en entornos simulados para sectores críticos
El plan contempla además la creación de una plataforma segura para probar inteligencia artificial aplicada a la ciberseguridad. La impulsarán ENISA y el Centro Común de Investigación de la Comisión Europea.
Esa plataforma permitirá realizar pruebas en entornos simulados y trasladar conocimiento sobre el uso seguro de la IA a operadores de sectores críticos como finanzas, energía, salud, transporte y administración pública.
Más higiene cibernética y seguridad desde el diseño
Bruselas subraya que las organizaciones deberán reforzar sus prácticas de higiene cibernética, gestión de riesgos y seguridad desde el diseño, tal y como prevén las normas europeas de ciberseguridad.
La Comisión también anima a las organizaciones a utilizar capacidades de inteligencia artificial ya disponibles, incluidos modelos de código abierto, para identificar y corregir vulnerabilidades con mayor rapidez, prevenir ataques y responder mejor ante incidentes.
ENISA apoyará esta transición facilitando alianzas entre autoridades públicas, empresas y comunidades de código abierto. Entre las medidas previstas figuran guías, recomendaciones, buenas prácticas y una campaña para proteger el software crítico de código abierto.
Un gran reto europeo de IA y ciberseguridad
Para estimular el mercado europeo, la Comisión lanzará el EU Grand Challenge on AI for cybersecurity, una competición dirigida a empresas, investigadores y organizaciones para desarrollar soluciones de inteligencia artificial aplicadas a la ciberseguridad.
Bruselas vincula esta iniciativa con la necesidad de invertir en capacidades europeas propias de inteligencia artificial avanzada, apoyándose en infraestructuras como las AI Factories y las futuras Gigafactories.
La Comisión también apunta a la futura capacidad europea de capital tecnológico, anunciada dentro del Tech Sovereignty Package, como posible instrumento para movilizar inversión privada y escalar capacidades europeas propias.
El calendario regulatorio europeo
El plan se enmarca en varias normas europeas ya aprobadas o en fase de despliegue. La Comisión recuerda que el Reglamento de Inteligencia Artificial obliga a evaluar y mitigar riesgos de los modelos de IA, mientras que el Código de Buenas Prácticas para modelos de propósito general detalla esas exigencias y facilita el cumplimiento por parte de los proveedores.
Estas disposiciones empezarán a aplicarse el 2 de agosto de 2026.
En paralelo, el Cyber Resilience Act será aplicable a finales de 2027 y exigirá seguridad desde el diseño para productos de hardware y software. A ello se suman la Directiva NIS2, centrada en sectores críticos como transporte y energía; DORA, para el sector financiero; y el Cyber Solidarity Act, orientado a reforzar la capacidad europea para detectar, prepararse y responder a amenazas e incidentes de gran escala.
La vicepresidenta ejecutiva para Soberanía Tecnológica, Seguridad y Democracia, Henna Virkkunen, defendió que “la IA está transformando el significado de la ciberseguridad” y que la UE debe adaptar su respuesta ante las vulnerabilidades que traen las tecnologías emergentes.