El 7 de julio de 2026, la Comisión Europea presentó un Plan de Acción de la UE sobre Ciberseguridad e Inteligencia Artificial, una Comunicación no vinculante (IP/26/1544) que alinea el AI Act, el Cyber Resilience Act, la directiva NIS2 y las normas de ciberseguridad RED en una única hoja de ruta operativa para los equipos de cumplimiento de productos conectados. El plan llega 26 días antes de que las obligaciones sobre IA de propósito general (GPAI) y la mayoría de las disposiciones de alto riesgo del AI Act sean aplicables el 2 de agosto de 2026, y señala dónde concentrarán ENISA, la AI Office y el Joint Research Centre su capacidad de supervisión y ensayo hasta 2027.

Para los fabricantes de equipos radioeléctricos, de telecomunicaciones y eléctricos que ya se están adaptando a los requisitos de ciberseguridad del artículo 3.3(d)-(f) de la directiva RED en virtud del Reglamento Delegado (UE) 2022/30 y de la norma armonizada EN 18031, el Plan de Acción es una señal de futuro, no una nueva obligación legal. Indica a los equipos de evaluación de la conformidad qué controles adyacentes a la IA, canales de evaluación e infraestructura de pruebas seguras serán tomados como referencia por las autoridades desde 2026 hasta 2027, y dónde espera la Comisión que invierta ahora la industria.

Qué cambia realmente el Plan de Acción para el cumplimiento de los productos conectados

La Comunicación no introduce ninguna norma vinculante nueva. Su peso es operativo: compromete a la Comisión, a ENISA y al JRC a entregar cuatro elementos concretos que los equipos de cumplimiento de productos conectados deben seguir y, cuando proceda, integrar en sus programas de preparación para el AI Act y el CRA.

  • Una capacidad de evaluación de la UE para la ciberseguridad de la IA, establecida mediante una convocatoria específica, que se espera esté operativa en 2027. Alimentará la evaluación por terceros de las capacidades y riesgos de los modelos avanzados por parte de la AI Office, complementando el GPAI Code of Practice que será vinculante a partir del 2 de agosto de 2026.
  • Un Blueprint europeo de ENISA para el acceso estructurado a capacidades avanzadas de IA, que ofrecerá a las organizaciones europeas públicas y privadas condiciones transparentes para acceder a los modelos más capaces para casos de uso de ciberseguridad.
  • Una plataforma de pruebas segura del JRC y ENISA para la ciberseguridad de la IA, que incluirá entornos simulados, dirigida a operadores de sectores críticos (finanzas, energía, salud, transporte, administración pública).
  • Un Grand Challenge de la UE sobre IA para ciberseguridad, además de asociaciones facilitadas por ENISA entre autoridades, empresas y comunidades de código abierto, incluida una campaña para asegurar el software de código abierto crítico.

Ninguno de estos elementos sustituye a una evaluación de la conformidad para el marcado CE en el marco de la directiva RED o del CRA. Constituyen la capacidad del sector público en la que se apoyarán las autoridades de supervisión al evaluar las funciones basadas en IA dentro de los productos conectados, y con la que los proveedores pueden colaborar de forma voluntaria antes de que las obligaciones entren en vigor.

A quién afecta y para cuándo

Los responsables de cumplimiento y los directores de ciberseguridad de productos de los fabricantes europeos de equipos radioeléctricos, de telecomunicaciones y eléctricos conectados son el principal público industrial, junto con las entidades esenciales e importantes en el marco de la directiva NIS2. Los plazos vinculantes en torno a los cuales gira el Plan de Acción no han cambiado, pero están muy agrupados:

FechaObligación en vigorInstrumento
2 de agosto de 2026Obligaciones GPAI y la mayoría de las disposiciones de alto riesgo del AI Act aplicables; se espera el cumplimiento del GPAI Code of PracticeReglamento (UE) 2024/1689 (AI Act)
2 de agosto de 2026La ciberseguridad del artículo 3.3(d)-(f) de la directiva RED ya es aplicable desde el 1 de agosto de 2025; presunciones de conformidad a través de la norma EN 18031Reglamento Delegado (UE) 2022/30 (RED)
Finales de 2027Cyber Resilience Act plenamente aplicable: seguridad desde el diseño, notificación de vulnerabilidades e incidentes, conformidad con el marcado CE para productos con elementos digitalesReglamento (UE) 2024/2847 (CRA)
2027Capacidad de evaluación de la UE para la ciberseguridad de la IA operativaCompromiso del Plan de Acción (no vinculante)

Para un proveedor de equipos radioeléctricos o dispositivos conectados que introduzca una función basada en IA en el mercado de la UE, la secuencia práctica es la siguiente: conformidad con el AI Act para el componente de alto riesgo a partir del 2 de agosto de 2026, conformidad de ciberseguridad RED para la interfaz de radio ya en vigor, y conformidad con el CRA para los elementos digitales del producto a finales de 2027. El Plan de Acción no modifica esas fechas; indica qué organismos de la UE estarán disponibles para apoyar cada nivel.

Qué deben hacer ahora los equipos de cumplimiento

En primer lugar, asigne cada función basada en IA de su cartera de productos de radio, telecomunicaciones o eléctricos a los niveles de riesgo del AI Act y a los requisitos esenciales de ciberseguridad del artículo 3.3(d)-(f) de la directiva RED. Cuando una función se clasifique como de alto riesgo, la evaluación de la conformidad y la documentación de gestión de riesgos deben estar listas antes del 2 de agosto de 2026, no después. En segundo lugar, prepare con antelación su expediente de preparación para el CRA: los procesos de notificación de vulnerabilidades e incidentes, la disciplina de la lista de materiales de software y las pruebas de seguridad desde el diseño se examinarán en el marco de la aplicabilidad del CRA en diciembre de 2027, y la plataforma de pruebas de la AI Office y ENISA están posicionadas para consultar esas pruebas en el caso de los componentes que incorporan IA. En tercer lugar, siga el Blueprint de ENISA y la convocatoria de capacidad de evaluación de la UE a medida que pasan de ser un compromiso a un entregable, e involucre a su laboratorio de pruebas u organismo notificado con antelación, ya que la capacidad será escasa en el período previo a 2027.

La monitorización continua por jurisdicción de Obsidian saca a la luz las Comunicaciones de la Comisión, las directrices de ENISA y las actualizaciones de las normas armonizadas en el momento en que se publican, de modo que un equipo de cumplimiento de productos conectados puede incorporar cada nuevo elemento a su expediente de preparación sin tener que repetir manualmente las mismas comprobaciones diarias.

Aproveche esta vigilancia en tiempo real

Obligaciones de notificación conforme a la Ley de Resiliencia CibernéticaEn vivo
Supervisar el hito de notificación de la CRA para el sector de equipos radioeléctricos, telecomunicaciones y eléctricos.
Cada hora Email 7 noticias
Esta tarea de vigilancia en tiempo real detectó la noticia que está leyendo.
Active esta vigilancia gratis ahora

Próximos pasos para los responsables de cumplimiento: confirme su postura de conformidad con el AI Act para el 2 de agosto de 2026 para cada función de alto riesgo, informe a su organismo notificado y a su socio de pruebas de ciberseguridad sobre los cuatro entregables del Plan de Acción, y fije el hito de diciembre de 2027 del CRA en las revisiones de la hoja de ruta de sus productos ahora, en lugar de después de las vacaciones de verano.