La Comisión Europea dio un paso decisivo el 20 de enero de 2026 para transformar la ciberseguridad de la Unión, presentando una propuesta que, de aprobarse, establecería un mecanismo vinculante para vetar a proveedores extranjeros considerados de alto riesgo de infraestructuras críticas, incluyendo las redes de telecomunicaciones 5G y 6G. La reforma afectaría directamente a gigantes tecnológicos como las chinas Huawei y ZTE, y busca convertir en obligatorias unas recomendaciones de seguridad hasta ahora voluntarias para los Estados miembros.

La iniciativa, impulsada por la vicepresidenta ejecutiva Henna Virkkunen, busca homogeneizar la defensa comunitaria frente a lo que Bruselas califica como “riesgos estratégicos para nuestra democracia, economía y estilo de vida”. La propuesta llega en un contexto de creciente presión geopolítica y tras años de advertencias a países como España, que ha mantenido acuerdos comerciales con las empresas señaladas.

Núcleo de la propuesta: obligatoriedad y una “lista negra” europea
El cambio más significativo de la reforma a la Ley de Ciberseguridad de la UE radica en su carácter vinculante. Actualmente, las recomendaciones de la “Caja de Herramientas 5G” de 2020, que instaban a los Estados a excluir a proveedores de alto riesgo, eran de aplicación voluntaria. La nueva normativa haría obligatorio seguir estos lineamientos, eliminando la discrecionalidad de los gobiernos nacionales.

El instrumento central sería la creación de una “lista negra” o catálogo comunitario de proveedores problemáticos. Aunque la Comisión no nombra expresamente a compañías en el texto legal –procedimiento que seguiría tras evaluaciones de riesgo concretas–, fuentes comunitarias han dejado claro el objetivo: “el mercado no ha cambiado” desde las advertencias previas sobre Huawei y ZTE. Para incluir a un proveedor en la lista, bastaría con la iniciativa de la propia Comisión o la petición conjunta de tres Estados miembros.

Una vez publicada la lista, los países dispondrían de un plazo máximo de tres años para rescindir todos los contratos existentes con las empresas vetadas y excluirlas de sus infraestructuras críticas.

Ámbito de aplicación ampliado: más allá del 5G
La propuesta no se limita a las redes de telecomunicaciones móviles. Identifica 18 sectores considerados críticos donde sería aplicable la exclusión de proveedores de alto riesgo. Además de las redes 5G y la futura 6G, la lista incluye:

  • Equipamiento médico y de vigilancia.
  • Servicios de computación en la nube.
  • Infraestructura eléctrica y de almacenamiento de energía.
  • Semiconductores.
  • Servicios espaciales y sistemas de control de drones.

Esta ampliación refleja una visión integral de la soberanía tecnológica y la seguridad de la cadena de suministro, buscando reducir la dependencia en áreas consideradas vitales.

Refuerzo institucional y contexto de amenazas
La reforma también contempla dotar de mayores recursos y capacidades a la Agencia de la UE para la Ciberseguridad (ENISA), para que pueda ofrecer más apoyo a gobiernos y empresas en la interpretación de amenazas y la coordinación de respuestas.
El impulso de esta normativa se enmarca en un escenario de ciberamenazas creciente. La Comisión aportó datos elocuentes durante la presentación: solo en la semana del 10 al 16 de enero de 2026 se registraron unos 150 ciberincidentes graves en la UE, con Polonia (100), Francia (15), España (9) y Alemania (7) a la cabeza. Además, calcula que los cuatro mayores ciberataques sufridos en la Unión entre 2020 y 2025 tuvieron un coste conjunto de 307.000 millones de euros.

Reacciones y camino por delante
La propuesta ha generado una respuesta inmediata de las empresas afectadas. Huawei emitió un comunicado calificando la iniciativa de “discriminatoria” y argumentando que “viola los principios jurídicos básicos de la UE de equidad, no discriminación y proporcionalidad”, amenazando con defender sus intereses.
El texto legislativo inicia ahora su proceso de negociación entre el Consejo de la Unión Europea (donde están representados los Estados miembros) y el Parlamento Europeo. Su aprobación final supondría un punto de inflexión en la política de ciberseguridad europea, alineándola explícitamente con objetivos de soberanía tecnológica y reducción de dependencias estratégicas, en un gesto que tiene claras connotaciones geopolíticas.