Plan de Acción de Ciberseguridad e IA de la UE: la evaluación previa al mercado llega a los modelos de frontera
El 7 de julio de 2026 la Comisión Europea presentó un plan de acción que construye la capacidad de prueba que le faltaba a la Ley de IA: evaluación por terceros de los modelos avanzados antes de llegar al mercado de la UE, más un blueprint de ENISA para un acceso seguro.
¿Qué es esto?
El 7 de julio de 2026, la Comisión Europea presentó su Plan de Acción sobre Ciberseguridad e Inteligencia Artificial. El plan hace algo que el texto de la Ley de IA por sí solo no hacía: empieza a construir la capacidad técnica que la UE necesita para probar realmente los sistemas de IA avanzados, en lugar de depender de la documentación aportada por los proveedores. Se organiza en torno a tres objetivos: promover un uso seguro y responsable de la IA avanzada, reforzar la ciberseguridad y la resiliencia de la UE, y ampliar las propias capacidades europeas de IA para la ciberdefensa.
Ese mismo día, ENISA publicó un informe complementario, «ENISA’s view on Cybersecurity in the Frontier AI Era», un primer conjunto de recomendaciones para las autoridades nacionales y los defensores frente a amenazas «a velocidad de máquina», explícitamente alineado con el plan de la Comisión. En conjunto, indican que la UE trata la evaluación de los modelos de frontera como una infraestructura que hay que construir, no como una casilla que marcar.
Qué hace el plan en concreto
La medida de mayor calado para quien despliega grandes modelos es el compromiso de reforzar la capacidad de Europa para evaluar los modelos de IA antes de su comercialización en la UE, en línea con la Ley de IA. En la práctica apunta a una función de evaluación independiente, por parte de un tercero, que respalde el papel de aplicación de la Oficina Europea de IA (AI Office), rompiendo con la autoevaluación como vía de acceso al mercado por defecto. La prensa (Agence Europe y otros) lo describe como una propuesta de la Comisión para dotarse de su propia capacidad de evaluación de modelos, con 2027 como plazo operativo citado con frecuencia; el calendario y el alcance los fijarán las orientaciones posteriores de la Oficina de IA, no el plan en sí.
Junto a la evaluación, la Comisión se compromete a trabajar con ENISA en un «Blueprint europeo» para el acceso seguro a los sistemas de IA avanzados con fines de ciberseguridad, y a construir una plataforma de pruebas segura para que las organizaciones de sectores críticos —energía, transporte, salud, finanzas y administración pública— puedan probar y desplegar la IA con seguridad. El plan también se apoya en la legislación vigente (la Directiva NIS2 y la Ley de Ciberresiliencia), anima a los defensores a usar IA, incluidos modelos de código abierto, para detectar y corregir vulnerabilidades más rápido, y lanza un «EU Grand Challenge» sobre IA para la ciberseguridad.
Por qué importa
La Ley de IA creó obligaciones; este plan trata de la capacidad para verificarlas en la frontera. Sin un organismo independiente capaz de realizar evaluaciones técnicas, las normas sobre los modelos más capaces dependen en gran medida de las pruebas aportadas por el proveedor. Una función creíble de evaluación previa al mercado cambia el cálculo para cualquier proveedor que aspire al acceso a la UE: la evaluación por terceros pasa a formar parte de la vía de acceso, no de una auditoría opcional.
La cuestión abierta es de definición. Lo que se considere «modelo de IA avanzado» decidirá qué proveedores se someten a la evaluación previa y cuáles operan bajo un régimen más ligero. Ese umbral —previsto en futuras orientaciones de la Oficina de IA— pesa más en la planificación de cumplimiento que el titular del plan. La plataforma de pruebas para sectores críticos y el blueprint de ENISA también importan en el plano operativo: es ahí donde las condiciones de acceso seguro y la metodología de evaluación tomarán forma a lo largo de 2026-2027.
Qué hacer ahora
Para los equipos con exposición al mercado de la UE, el plan es una señal de planificación más que una obligación inmediata:
- Proveedores de modelos de frontera y de GPAI: empiecen a reunir las pruebas que pediría un evaluador externo —tarjetas de modelo, evaluaciones de ciberriesgo, expedientes de seguridad— y sigan cómo la Oficina de IA define el umbral de «modelo avanzado» que activa la evaluación previa.
- Equipos de cumplimiento y gobernanza: vigilen las orientaciones de la Oficina de IA, no solo el plan, para saber qué categorías de modelos activan la evaluación; serán ellas las que fijen su calendario. Anoten la fecha del 2 de agosto de 2026, cuando entran en vigor las facultades sancionadoras sobre GPAI y las obligaciones de transparencia del artículo 50.
- Operadores de sectores críticos (energía, salud, finanzas, transporte, administración): vigilen los criterios de elegibilidad y acceso a la plataforma de pruebas segura, diseñada como recurso directo para ustedes.
- Defensores en general: lean el informe de ENISA como una primera lista de comprobación concreta ante amenazas a velocidad de máquina, que se irá refinando al ritmo del plan de la Comisión.
Estado
| Elemento | Valor |
|---|---|
| Instrumento | Plan de Acción UE sobre Ciberseguridad e IA (no vinculante, operativiza la Ley de IA) |
| Publicación | 2026-07-07 (Comisión Europea) |
| Informe asociado | ENISA, «View on Cybersecurity in the Frontier AI Era» (2026-07-07) |
| Medidas clave | Capacidad de evaluación previa al mercado; «Blueprint europeo» de ENISA para acceso seguro; plataforma de pruebas de sectores críticos; EU Grand Challenge |
| Objetivo de la capacidad de evaluación | ~2027 (según la prensa; a confirmar por la Oficina de IA) |
| Plazo relacionado | 2026-08-02 — facultades sancionadoras GPAI y obligaciones de transparencia (art. 50) aplicables |
| Marco jurídico | Ley de IA, Directiva NIS2, Ley de Ciberresiliencia, DORA, Ley de Ciber-solidaridad |
Fechas clave: 7 de julio de 2026 — publicación del plan de acción y del informe de ENISA. 2 de agosto de 2026 — las obligaciones de GPAI y de transparencia pasan a ser aplicables. ~2027 — capacidad de evaluación de modelos de la UE prevista como operativa (a confirmar por futuras orientaciones de la Oficina Europea de IA).
Sources
- → https://digital-strategy.ec.europa.eu/en/library/eu-action-plan-cybersecurity-and-artificial-intelligence
- → https://www.enisa.europa.eu/publications/enisas-view-on-cybersecurity-in-the-frontier-ai-era
- → https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
- → https://techjacksolutions.com/ai-brief/eu-launches-cybersecurity-action-plan-mandate-test-frontier/