Cibersanciones de la UE: el peaje de la unanimidad
El Reglamento de Ejecución (UE) 2026/589, publicado hoy en el Diario Oficial de la Unión Europea, interesa a los profesionales de ciberdefensa, cumplimiento normativo y asesoría a operadores de servicios esenciales no tanto por su contenido material como por lo que revela sobre los límites del instrumento sancionador europeo frente a ciberataques.
El Reglamento actualiza el anexo del Reglamento (UE) 2019/796, de 17 de mayo de 2019, que establece el marco de medidas restrictivas contra ciberataques que amenacen a la Unión o a sus Estados miembros. Su base jurídica —el artículo 29 del TUE para la Decisión PESC correspondiente y el artículo 215 del TFUE para el reglamento de ejecución— impone un requisito que condiciona todo el régimen: la unanimidad en el Consejo.
Cada nueva designación de personas o entidades vinculadas a ciberataques exige el voto favorable de los veintisiete. El mecanismo, concebido para la Política Exterior y de Seguridad Común, convierte la lista de sancionados en el producto de una negociación diplomática donde la atribución técnica de un ataque puede chocar con el veto de un Estado miembro que mantiene relaciones bilaterales sensibles con el país de origen del actor señalado.
El anexo resultante opera como herramienta de disuasión, pero también refleja el grado de consenso geopolítico que los veintisiete son capaces de alcanzar en cada momento. Quienes figuran en él lo hacen porque ningún Estado miembro se opuso; quienes no figuran, pese a la existencia de evidencias técnicas sólidas recopiladas por agencias como ENISA o los equipos nacionales de respuesta a incidentes (CSIRT), quedan fuera por razones que no son jurídicas ni técnicas, sino políticas.
La Comisión Europea ha reconocido en diversas comunicaciones sobre la Estrategia de Ciberseguridad de la UE —la más reciente, la revisión de diciembre de 2025— que la capacidad de atribución técnica ha mejorado de forma sustancial. El problema no reside en identificar al atacante, sino en lograr que veintisiete gobiernos acuerden señalarlo públicamente y aplicar las consecuencias previstas en los artículos 3 y 4 del Reglamento 2019/796: congelación de activos y prohibición de puesta a disposición de fondos.
En el plano nacional, la transposición operativa de estas sanciones recae sobre la normativa española de medidas restrictivas y, en particular, sobre el régimen sancionador de la Ley 19/2003, de 4 de julio, sobre régimen jurídico de los movimientos de capitales y de las transacciones económicas con el exterior. Su artículo 7 tipifica las infracciones por incumplimiento de las obligaciones de congelación de activos, lo que sitúa a las entidades financieras y a los operadores obligados ante un riesgo de sanción administrativa directa si no aplican las designaciones del anexo actualizado.
El Reglamento 2026/589 entra en vigor el día de su publicación. Su contenido material —los nombres añadidos o mantenidos en el anexo— merece lectura atenta, pero la arquitectura institucional que lo produce, basada en la unanimidad de veintisiete Estados con intereses geopolíticos divergentes, sigue siendo la principal limitación del sistema europeo de ciberdisuasión.
Javier Mena