Qué anunció de verdad la Comisión
El 7 de julio de 2026 la Comisión Europea presentó su Plan de Acción sobre ciberseguridad e inteligencia artificial, y la vicepresidenta ejecutiva Henna Virkkunen lo dijo sin rodeos, que la IA está transformando el significado de la ciberseguridad y la Unión debe seguir el ritmo. Lo llamativo es lo que el plan no contiene, ninguna ley nueva. En su lugar impulsa la aplicación de normas ya vigentes, la Directiva NIS2, el Reglamento de Ciberresiliencia y el Reglamento de IA. Dentro hay tres movimientos concretos, una capacidad de evaluación de la UE para las capacidades y riesgos de los modelos de IA avanzados, un plano europeo y una plataforma segura de pruebas construida con la agencia europea de ciberseguridad ENISA para que los sectores críticos ensayen IA sin peligro, y un EU Grand Challenge que financia a investigadores y empresas para construir defensa con IA. Se lee menos como un reglamento y más como una decisión sobre dónde pone Europa sus propias manos.
Por qué el plan construye su propia capacidad de prueba
El centro de gravedad es la capacidad de evaluación de la UE. El Reglamento de IA ya exige evaluar el riesgo de los modelos avanzados antes de que lleguen al mercado, y el plan dice que Europa reforzará la evaluación independiente en vez de aceptar que un proveedor corrija su propia tarea. Es tanto una declaración de soberanía como de seguridad, porque la mayoría de los modelos punteros son estadounidenses y Europa no quiere depender de los laboratorios que los construyen para certificar que son seguros. La plataforma segura de pruebas extiende la misma lógica a los operadores, dando a bancos, hospitales y gestores de red un lugar controlado para probar IA avanzada sin exponer los sistemas de producción. Y el momento pesa, porque desde el 2 de agosto de 2026 la Comisión obtiene sus poderes de ejecución sobre la IA de propósito general, incluida la facultad de exigir información y medidas a los proveedores. El plan es el andamio que se levanta justo antes de esa fecha.
Qué se lleva un operador de todo esto
Esta semana no cae nada nuevo sobre su mesa de cumplimiento, y ese es el punto que conviene interiorizar. Sus obligaciones bajo NIS2 y el Reglamento de Ciberresiliencia no cambian, pero ahora se sitúan dentro de un marco explícito de amenaza de IA, porque los mismos modelos que redactan sus informes pueden automatizar el reconocimiento, escribir código de ataque y escalar una intrusión más rápido de lo que reacciona un equipo humano. Si opera un servicio de sector crítico, espere que la plataforma segura de pruebas se convierta en la vía sancionada para demostrar un despliegue de IA antes de que toque cargas reguladas, y espere que su autoridad nacional, en España el INCIBE, traduzca el plano en una guía por la que le medirán. La acción no es archivar papel, es el ritmo, porque una defensa afinada contra atacantes humanos se enfrenta ahora a atacantes máquina.
Leer a continuación: Un fallo de 29 años en Squid filtra logins en claro | Este malware borra primero tus copias de seguridad



