La propuesta de revisión del Reglamento de Ciberseguridad de la UE (CSA 2.0) ha generado un debate jurídico en Europa. Impulsada por la Comisión Europea y revisada en enero, la iniciativa refuerza el sistema común de certificación y pone el foco en los llamados “proveedores de alto riesgo”, lo que permite imponer restricciones y limitar el uso de determinados productos y servicios en sectores considerados críticos. Bruselas justifica la reforma por la necesidad de hacer frente a riesgos transfronterizos y reducir dependencias tecnológicas en un contexto geopolítico cada vez más complejo.

Sin embargo, más allá del objetivo declarado de reforzar la ciberseguridad, varios juristas cuestionan la solidez legal de la propuesta. Entre ellos, José Luís da Cruz Vilaça, ex presidente del Tribunal de Justicia de la Unión Europea (TJUE), quien sostiene que la Comisión habría basado la reforma exclusivamente en la competencia de mercado interior (artículo 114 del Tratado de Funcionamiento de la UE), un ámbito compartido entre la UE y los Estados miembros. A su entender, dado que el contenido de la norma afecta a materias vinculadas a la seguridad nacional, “no constituye una base jurídica adecuada para una propuesta como la CSA2”.

Debate sobre competencias y seguridad nacional

El jurista basa su crítica en el principio de atribución (artículo 5 del TUE), que establece que la Unión Europea solo puede actuar en materias para las que tiene competencias expresamente reconocidas. También recuerda que el artículo 4.2 del TUE reserva la seguridad nacional a los Estados miembros.

Además, advierte de que los principios de subsidiariedad y proporcionalidad no pueden utilizarse para justificar una actuación de la Unión si esta no tiene competencia en esa materia.

“Proveedores de alto riesgo” y seguridad jurídica

Otro de los puntos centrales del análisis es la introducción del concepto de “proveedores de alto riesgo” y la posibilidad de identificar “países de riesgo”, decisiones que pueden tener efectos directos sobre el acceso al mercado y la actividad empresarial.

A juicio del ex presidente del TJUE, la amplitud de estos conceptos y la concentración de facultades en la Comisión pueden generar problemas de seguridad jurídica y equilibrio institucional, especialmente si la base jurídica elegida fuera impugnada ante el TJUE.

Un debate también técnico y político

En una línea crítica similar se pronuncia Santiago González-Varas Ibáñez, catedrático de Derecho Administrativo en la Universidad de Alicante, quien sitúa la controversia en la selección de proveedores de tecnologías TIC y en el equilibrio entre criterios técnicos y consideraciones políticas.

“El debate es si ha de primar un planteamiento técnico o han de considerarse elementos políticos”, señala el profesor, en referencia a la elección de proveedores en cadenas de suministro críticas.

Riesgos no técnicos y discrecionalidad

González-Varas describe la propuesta como un “mecanismo de seguridad a nivel de la Unión” orientado a afrontar “riesgos no técnicos” en sectores de alta criticidad, a través del denominado “marco de confianza de la cadena de suministro de TIC”.

Desde una perspectiva jurídico-pública, advierte de la “alta discrecionalidad” en la aplicación de estos criterios, especialmente cuando se introducen vetos por motivos políticos y comerciales, lo que plantea dudas sobre el control jurídico y el reparto de competencias entre la Unión Europea y los Estados miembros.