Ciberseguridad, identidad digital y ‘ransomware’: el mensaje del CEPD y el SEPD sobre la NIS2
España todavía no ha comenzado con la tramitación parlamentaria necesaria
Cuando España todavía no ha comenzado con la tramitación parlamentaria necesaria para transponer a nuestro ordenamiento jurídico la conocida como Directiva NIS2, el Comité Europeo de Protección de Datos (CEPD) y el Supervisor Europeo de Protección de Datos (SEPD) han publicado su Dictamen conjunto 4/2026 sobre la propuesta de modificación de dicha Directiva (2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión Europea).
El Dictamen conjunto del CEPD y del SEPD da respuesta a la consulta formal hecha por la Comisión Europea en fecha 21 de enero de 2026, sobre su propuesta de directiva del Parlamento Europeo y del Consejo por la que se modifica la Directiva (UE) 2022/2555 sobre medidas de simplificación y armonización con la Propuesta de Reglamento sobre la Ciberseguridad. Esta propuesta se centra en reducir la complejidad y diversidad de políticas relacionadas con la ciberseguridad, mediante la introducción de aclaraciones y facilitando el cumplimiento normativo a las entidades reguladas.
El CEPD y el SEPD se pronuncian sobre varias cuestiones que tienen o pueden tener importancia de cara al futuro de la ciberseguridad y la protección de datos en la Unión Europea.
Una cuestión relevante es la relativa a la modificación de la Directiva NIS2 para incluir a los proveedores de Carteras de Identidad Digital Europea (en inglés EU Digital Identity Wallets) entre las entidades críticas, con independencia de cuál sea su tamaño. Aunque la medida es positiva, ya que tiene como finalidad asegurar que todos los proveedores de Carteras de Identidad Digital Europea cumplen con las mismas obligaciones en materia de ciberseguridad, puede no ser la más adecuada en términos de posibles modificaciones sucesivas de dicha Directiva.
Quizás hubiera sido deseable que el anexo relativo a estas entidades esenciales pudiera, o tuviera que, ser revisado y actualizado para permitir dar una mejor respuesta a las necesidades que, de cara al futuro, puedan plantearse por lo que se refieren a este tipo de entidades.
Como señalan el CEPD y el SEPD, los proveedores de Carteras de Identidad Digital Europea son un componente clave de la infraestructura digital europea y, por este motivo, cabe considerar que sus obligaciones deben ser iguales para todos dada la importancia que tiene la identidad digital europea.
Otra cuestión destacable y delicada es la modificación de la Directiva NIS2 que se plantea para incluir la solicitud de cierta información a organizaciones que hayan sufrido un ataque de ransomware (o ciberataque con programa de secuestro). Esta información podría ser, entre otra, la relativa a si han pagado un rescate y, si lo han hecho, qué cantidad y a quién.
Como destacan el CEPD y el SEPD, es importante tener en cuenta la probable naturaleza sensible de esta información, que debería facilitarse solo a los equipos de respuesta a incidentes de seguridad informática (CSIRT) o, cuando proceda, a las autoridades competentes a petición de éstas para fines concretos y mantenerse confidencial.
Se trata de un dictamen conjunto positivo, necesario y oportuno sobre algunas cuestiones relevantes en materia de ciberseguridad y protección de datos, como lo son la identidad digital europea y los ataques de ransomware. Y este dictamen pone de manifiesto que no se trata solo de una modificación que busca simplificar, sino que trata cuestiones que son clave en el entorno digital y para la seguridad de las organizaciones que sufren o pueden sufrir ciberataques. Ahora habrá que esperar a ver cómo evolucionan las modificaciones que se plantean a la Directiva NIS2.