Bruselas presume de avances digitales, pero el informe de 2026 deja claro dónde sigue atascada Europa

Europa avanza. Europa invierte. Europa publica informes. Y, aun así, Europa sigue sin moverse a la velocidad que exige su propia agenda digital. Ese es el mensaje real del 2026 State of the Digital Decade report, publicado por la Comisión Europea el 17 de junio de 2026: hay progreso en infraestructuras digitales seguras y sostenibles y en la digitalización de servicios públicos, pero persisten brechas estructurales que, si no se corrigen ahora, harán que los objetivos de 2030 lleguen tarde o lleguen cojos.

No es una revelación precisamente revolucionaria. Bruselas lleva años hablando de autonomía estratégica, capacidad industrial, nube europea, semiconductores y habilidades digitales como si repetirlo fuese una forma de fabricarlo. Lo que sí cambia en esta edición es el tono operativo. La Comisión ya no se limita a hacer inventario. Vincula el diagnóstico con la próxima asignación de fondos del marco financiero plurianual de la UE y señala que el problema no es solo qué falta, sino la incapacidad de entregar resultados con escala, velocidad y consistencia.

Eso importa más de lo que parece. Porque cuando la Comisión habla de “escala” no está pensando en un eslogan. Está hablando de despliegues paneuropeos que funcionen de verdad: capacidades cloud utilizables por administraciones y empresas, infraestructuras críticas menos dependientes de terceros, adopción empresarial de tecnologías avanzadas, servicios públicos digitales transfronterizos y una base de talento que no obligue a importar toda la capacidad técnica que hoy escasea dentro de la Unión.

El informe llega, además, acompañado de un dato político útil: el último Eurobarómetro especial citado por la Comisión muestra que una amplia mayoría de europeos sitúa la política digital entre las prioridades de la UE. Esa combinación entre mandato político y déficit de ejecución convierte este paquete en algo más que una nota institucional. Es una advertencia presupuestaria: el próximo ciclo de gasto europeo va a premiar menos la retórica y más la capacidad de demostrar impacto.

Lo que la Comisión está diciendo de verdad

La nota oficial habla de “progreso” y de “cerrar brechas estructurales”. Traducido del idioma Bruselas al castellano llano: se ha avanzado en algunos indicadores visibles, pero no lo suficiente ni de forma uniforme entre Estados miembros, sectores y capacidades. La Comisión mantiene intacta la arquitectura política del programa Digital Decade, pero endurece la lectura de los cuellos de botella.

La referencia central sigue siendo la Decision (EU) 2022/2481, que estableció el programa político para la Década Digital hasta 2030. Esa decisión fijó objetivos en cuatro ejes: capacidades digitales, infraestructuras digitales, digitalización de empresas y digitalización de servicios públicos. No es un marco menor ni decorativo. Es el compás que orienta prioridades de inversión, seguimiento por país y, cada vez más, la conversación entre soberanía tecnológica y competitividad.

La novedad de 2026 no está en inventar un quinto pilar milagroso, sino en aceptar que varios de los problemas ya no pueden explicarse por falta de estrategia. Estrategia hay de sobra. Lo que falta es ejecución coordinada. La Comisión lo insinúa al decir que el informe “va más allá del stocktaking” y presenta reformas e inversiones prioritarias a escala de la UE y de los Estados miembros para orientar la financiación digital del próximo presupuesto europeo. Dicho de otro modo: se acabó la fase cómoda de declarar ambición y publicar brújulas. Ahora toca enseñar tuberías, contratos, despliegues y resultados.

La declaración de Henna Virkkunen, vicepresidenta ejecutiva para Soberanía Tecnológica, Seguridad y Democracia, va en esa línea. Menciona semiconductores, inteligencia artificial, cloud y código abierto como áreas donde la UE ha adoptado medidas recientes para reforzar capacidades. No es casual. Son cuatro terrenos donde la dependencia de proveedores externos, la fragmentación del mercado europeo y la falta de escala han sido problemas persistentes. También son cuatro áreas donde varias normas recientes o en marcha se cruzan entre sí de forma bastante menos elegante de lo que sugieren los folletos institucionales.

El problema no es solo digitalizar: es digitalizar sin seguir comprando dependencia

La paradoja europea es conocida pero sigue siendo incómoda. La Unión quiere soberanía tecnológica al mismo tiempo que gran parte de su infraestructura digital crítica, su capacidad cloud, sus herramientas de productividad, sus cadenas de suministro de software y parte sustancial de su innovación aplicada dependen de actores no europeos. El informe de 2026 no lo formula en términos tan crudos, pero todo el paquete apunta ahí.

La cuestión no es autarquía. La cuestión es resiliencia. Y ahí el debate deja de ser industrial para convertirse también en regulatorio y de riesgo operativo. DORA, por ejemplo, obliga a las entidades financieras a gestionar el riesgo de terceros TIC con bastante más disciplina que antes. Los artículos 28 a 30 del Reglamento (UE) 2022/2554 no se conforman con pedir una lista de proveedores y una cláusula genérica de seguridad. Exigen estrategia sobre riesgo de terceros, registro de acuerdos contractuales, elementos contractuales mínimos y una gobernanza que permita entender dependencias críticas.

¿Qué tiene que ver eso con el informe de la Década Digital? Mucho. Si Europa no desarrolla más capacidad propia o, al menos, más capacidad diversificada dentro del mercado europeo, buena parte de las obligaciones de resiliencia seguirán descansando sobre un mercado con concentración elevada. Es decir: puedes mejorar tu inventario de proveedores, reforzar cláusulas de auditoría y pedir planes de salida, pero si media industria sigue anclada en un puñado de hyperscalers o fabricantes, el margen real de maniobra es limitado.

Con NIS2 ocurre algo parecido. La Directiva (UE) 2022/2555 exige en su artículo 21 medidas de gestión de riesgos de ciberseguridad, incluyendo seguridad de la cadena de suministro y relaciones con proveedores directos. Otra vez: más diligencia, más control, más exigencia documental. Pero el control regulatorio no crea por sí solo capacidad industrial ni alternativas viables. El informe de 2026 deja entrever precisamente ese punto ciego europeo: hemos sofisticado el lenguaje del riesgo más rápido de lo que hemos construido opciones de mercado.

Aquí está el quid para cualquier responsable de compliance o CISO: la política digital de la UE ya no puede leerse separada de la regulación sectorial. El informe de la Década Digital no es una pieza “macro” sin aterrizaje operativo. Si tus obligaciones de DORA, NIS2, GDPR o AI Act dependen de proveedores, talento, infraestructuras y servicios públicos que aún no maduran al ritmo previsto, tu programa de cumplimiento también se resiente. No porque la ley cambie, sino porque el entorno de ejecución sigue siendo más frágil de lo que el PowerPoint comunitario suele admitir.

Servicios públicos digitales: uno de los avances reales, pero con la letra pequeña pendiente

La Comisión identifica la digitalización de los servicios públicos como uno de los ámbitos donde Europa ha progresado. Tiene lógica. En los últimos años, la UE ha empujado con fuerza la interoperabilidad, la identidad digital, la prestación electrónica de trámites y la digitalización administrativa. Ahí confluyen iniciativas muy distintas: desde el despliegue de carteras de identidad digital bajo eIDAS 2.0 hasta la simplificación de procedimientos y el intercambio transfronterizo de datos.

Pero conviene no confundir disponibilidad con usabilidad real. Un servicio puede existir formalmente y seguir siendo torpe, fragmentado o dependiente de procesos manuales detrás del formulario. Quien haya intentado operar entre varios Estados miembros ya conoce el resultado: mucha retórica sobre mercado único digital y bastante fricción administrativa cuando uno sale del perímetro nacional.

EIDAS 2.0 es un buen ejemplo de avance prometedor con complejidad práctica. El Reglamento (UE) nº 910/2014 fue modificado para introducir la cartera europea de identidad digital y ampliar la lógica de confianza digital. Sobre el papel, es una pieza potentísima para servicios públicos y privados. En la práctica, su éxito depende de adopción, interoperabilidad técnica, gobernanza y experiencia de usuario. Sin eso, la identidad digital corre el riesgo de convertirse en otro proyecto europeo impecable en el DOUE y desconcertante en la ventanilla digital.

El informe de 2026 acierta al poner foco en la consistencia. Porque uno de los problemas recurrentes de la digitalización pública europea no es la ausencia de proyectos piloto; de esos sobran. El problema es convertir pilotos y plataformas nacionales en un ecosistema transfronterizo operativo, seguro y mantenible. Si no se resuelve esa capa, la digitalización de servicios públicos seguirá mejorando indicadores de disponibilidad sin transformar de verdad el coste operativo y la experiencia de ciudadanos y empresas.

Para el sector privado, esto no es solo una cuestión de comodidad administrativa. Un entorno de servicios públicos digitales más maduro reduce tiempos de alta, simplifica reporting regulatorio, mejora verificaciones de identidad y puede abaratar procesos de onboarding y cumplimiento. En banca, seguros, salud digital, telecomunicaciones y servicios fiduciarios, el beneficio es directo. Si la administración no escala digitalmente, la empresa compensa con más fricción, más personal y más excepciones manuales. Nada muy futurista.

Habilidades digitales: el talón de Aquiles que Bruselas no puede parchear con comunicados

Si hay una brecha estructural que amenaza todos los demás objetivos de 2030, es la del talento. Puedes aprobar reglamentos, crear fondos, anunciar consorcios y patrocinar soberanía hasta quedarte sin tinta. Si no tienes suficientes perfiles técnicos, de ciberseguridad, de datos, de ingeniería cloud, de IA aplicada y de gestión de riesgo tecnológico, la ejecución no despega.

La Decisión 2022/2481 fijó entre sus metas que al menos el 80% de la población de 16 a 74 años tenga competencias digitales básicas y que la UE alcance 20 millones de especialistas TIC en 2030, con convergencia de género incluida. Son objetivos ambiciosos y, a estas alturas, todavía incómodos. El informe de 2026 no detalla en la nota de prensa todas las cifras, pero el mero hecho de que insista en brechas estructurales sugiere que el problema persiste con fuerza suficiente como para condicionar la asignación futura de fondos.

Aquí la ironía se escribe sola: Europa habla de IA soberana, ciberresiliencia y nube de confianza mientras miles de organizaciones siguen peleando por contratar ingenieros de seguridad, arquitectos cloud, analistas SOC, auditores técnicos y perfiles híbridos capaces de traducir regulación a controles operativos. El déficit de talento ya no es una molestia de recursos humanos. Es un riesgo de cumplimiento y de continuidad.

GDPR ofrece un buen termómetro de esta realidad. Los artículos 24, 25, 32, 33 y 35 exigen responsabilidad proactiva, protección de datos desde el diseño, seguridad del tratamiento, notificación de brechas y evaluaciones de impacto. Todo eso necesita personas con criterio técnico y jurídico. No basta con una política copiada y una casilla marcada. Con NIS2 y DORA sucede exactamente lo mismo: la sofisticación regulatoria ha crecido más deprisa que la capacidad media de muchas organizaciones para ejecutarla con personal propio.

La implicación es bastante directa. Si el próximo presupuesto europeo prioriza financiación digital con una lógica más disciplinada, las inversiones en habilidades y capacidad de despliegue deberían dejar de tratarse como “acompañamiento” y pasar a ser infraestructura crítica en sentido amplio. Porque una ley sin gente que la implemente es poco más que literatura administrativa.

La Comisión empieza a conectar política digital y dinero. Eso sí es relevante

Uno de los elementos más importantes del anuncio pasa casi desapercibido en la nota: el informe pretende guiar la asignación de financiación digital en el próximo Marco Financiero Plurianual de la UE. No es detalle burocrático. Es la palanca real.

Durante años, una parte del debate europeo ha consistido en producir estrategias digitales sectoriales relativamente bien orientadas, pero dispersas entre programas, fondos, instrumentos nacionales y prioridades políticas superpuestas. El movimiento de 2026 apunta a algo más exigente: usar el diagnóstico anual de la Década Digital para decidir qué reformas e inversiones merecen más dinero y cuáles necesitan corrección.

Eso puede tener varias consecuencias prácticas.

Primera: menos tolerancia a proyectos nacionales o sectoriales que no demuestren escalabilidad. La Comisión ya ha puesto sobre la mesa el papel de los multi-country projects y de los European Digital Infrastructure Consortia (EDICs). El informe paralelo publicado el mismo 17 de junio de 2026 sobre avances de proyectos multinacionales entre mayo de 2025 y mayo de 2026 encaja en esa lógica. Europa quiere proyectos compartidos, no 27 versiones incompletas del mismo problema.

Segunda: más presión sobre Estados miembros para alinear reformas regulatorias, despliegues técnicos y gasto público. Si un país recibe dinero para capacidades digitales pero mantiene barreras administrativas, fragmentación de compras o procesos de certificación lentos, el impacto se diluye. El informe de 2026 funciona como recordatorio de que el atasco no es solo presupuestario; muchas veces es de ejecución institucional.

Tercera: mayor escrutinio de resultados, no solo de absorción de fondos. En otras palabras, no bastará con gastar. Habrá que demostrar que el gasto movió indicadores de adopción, interoperabilidad, resiliencia o talento. Algo bastante razonable, aunque no siempre popular entre quienes confunden ejecución con licitación.

Autonomía estratégica: menos épica, más gobernanza de dependencias

La frase de Virkkunen sobre un “momento pivotal” para reforzar autonomía y resiliencia europea suena solemne, pero el trasfondo es muy concreto. La Unión ha acelerado piezas regulatorias e industriales en semiconductores, IA, cloud, ciberseguridad y open source porque ha asumido que la dependencia tecnológica no es una abstracción geopolítica. Es una vulnerabilidad operativa.

El Chips Act europeo, el AI Act, DORA, NIS2, el Cyber Resilience Act y los esquemas de certificación bajo el Cybersecurity Act no son compartimentos estancos. Forman, con desigual madurez, un intento de reconstruir capacidad y control en distintos niveles de la cadena digital. El informe de la Década Digital les da una narrativa común: soberanía tecnológica no como consigna industrialista, sino como condición para competir y resistir.

Ahora bien, conviene evitar una lectura ingenua. Autonomía no significa que Europa vaya a sustituir en pocos años todas sus dependencias críticas con soluciones locales equivalentes. Eso no va a ocurrir a esa velocidad. Lo que sí puede ocurrir es una mejora gradual de la gobernanza de esas dependencias: más visibilidad contractual, más requisitos de seguridad y resiliencia, más interoperabilidad, más compras públicas estratégicas, más incentivos a capacidades propias y más presión para reducir concentraciones extremas donde sea viable hacerlo.

Para las empresas reguladas, especialmente en servicios financieros y sectores esenciales, esta evolución importa porque redefine qué se espera de su función de terceros, de su arquitectura tecnológica y de su estrategia de salida. DORA ya exige contemplar estrategias de salida cuando el acuerdo contractual afecte a funciones críticas o importantes. NIS2 mete la cadena de suministro en el corazón de la gestión de riesgo. El informe de 2026 refuerza el argumento de que esas exigencias no son una moda regulatoria, sino la respuesta jurídica a una realidad de dependencia que Europa considera estratégica.

Lo que significa esto para entidades financieras europeas

Si diriges riesgos, compliance, tecnología o seguridad en una entidad financiera, el informe no te crea obligaciones nuevas por sí mismo. Pero sí cambia el contexto en el que se van a interpretar y supervisar varias de las que ya tienes encima de la mesa.

Primero, porque la conversación sobre resiliencia operativa digital va a ser cada vez menos sectorial y más sistémica. DORA entra en aplicación desde el 17 de enero de 2025. A partir de ahí, la gestión del riesgo TIC, la notificación de incidentes, las pruebas de resiliencia y el control de terceros críticos han dejado de ser buenas intenciones. Si la Comisión subraya que Europa necesita resultados a escala y menos brechas estructurales, las autoridades sectoriales tendrán aún menos paciencia con programas de cumplimiento que dependan de procesos manuales, inventarios incompletos o arquitectura tecnológica opaca.

Segundo, porque la digitalización de servicios públicos y la identidad digital europea pueden convertirse en aceleradores o en cuellos de botella para procesos financieros clave: onboarding, KYC, verificación documental, firma electrónica, autenticación reforzada y reporting. Si esos servicios maduran, bajan fricción y coste. Si maduran a medias, la entidad termina soportando capas redundantes para cubrir fallos de interoperabilidad.

Tercero, porque la discusión sobre soberanía tecnológica va a afectar compras, externalización y concentración. No se trata de prohibir proveedores globales. Se trata de que los supervisores y los consejos de administración hagan preguntas más incómodas sobre dependencia, capacidad de migración, resiliencia contractual y exposición acumulada. Preguntas que hace dos años podían sonar teóricas y ahora van camino de las actas del comité de riesgos.

En España, además, esta conversación llega sobre un sistema financiero ya sometido a una densidad normativa notable: DORA, NIS2 en su transposición nacional cuando proceda, GDPR, PSD2/PSR según evolución, eIDAS 2.0, AI Act para determinados casos de uso, y los esquemas de supervisión habituales del Banco de España, CNMV y DGSFP según entidad. Lo llamativo no es la abundancia de reglas, sino el hecho de que casi todas dependen, de una forma u otra, de capacidad tecnológica real para ejecutarse.

No todo es Bruselas: los Estados miembros siguen siendo el cuello de botella decisivo

La Comisión puede publicar un informe sólido, orientar el presupuesto y exigir planes nacionales. Pero la realidad de 2030 se decide en gran medida en los Estados miembros. Ahí viven las compras públicas, los incentivos fiscales, la velocidad administrativa, la calidad regulatoria, la formación profesional, la coordinación entre ministerios y la capacidad de convertir fondos europeos en activos útiles.

Esa es otra de las ideas fuertes del paquete de 2026, aunque se diga con vocabulario diplomático. Hay países que avanzan más rápido que otros; hay capacidades que maduran de forma desigual; y hay una brecha persistente entre estrategia europea y ejecución nacional. No es una anomalía nueva. Es la historia regulatoria de la UE en casi cualquier materia tecnológica seria.

Para las empresas, esta asimetría tiene una consecuencia práctica: cumplir en Europa seguirá siendo, durante bastante tiempo, un ejercicio de gestión de heterogeneidad. Aunque el marco regulatorio se europeice, la disponibilidad de talento, infraestructura, servicios públicos digitales e interlocución administrativa seguirá variando bastante por jurisdicción. Quien opere en varios países tendrá que convivir con velocidades distintas. El mercado único digital, de momento, sigue siendo bastante menos único cuando uno baja del reglamento a la operación.

También por eso la Comisión insiste en proyectos multinacionales y consorcios de infraestructuras digitales. Son mecanismos diseñados para reducir duplicidades y acelerar capacidades compartidas. Si funcionan, pueden corregir parte de la fragmentación. Si se convierten en la típica arquitectura institucional de comités, gobernanza y resultados diferidos, solo añadirán una capa más de sofisticación al atasco.

El cruce con privacidad, IA y ciberseguridad: tres agendas que ya no se pueden gestionar por separado

Una lectura perezosa del informe sería archivarlo como un documento de política industrial digital. Error. Su verdadero peso está en cómo condiciona tres agendas reguladoras que ya se pisan entre sí: privacidad, IA y ciberseguridad.

En privacidad, la digitalización acelerada de servicios públicos y privados aumenta la presión sobre gobernanza de datos, base jurídica, minimización, trazabilidad y seguridad. GDPR no desaparece porque un proyecto sea “estratégico” o “europeo”. Los artículos 5 y 25 siguen ahí para recordar que no toda ambición tecnológica está bien diseñada por defecto.

En IA, el problema es parecido. Europa quiere impulsar capacidad propia, adopción empresarial y proyectos a escala, pero el AI Act introduce obligaciones graduales y exigentes para sistemas de alto riesgo: gobernanza de datos, documentación técnica, supervisión humana, gestión de riesgos y registros, entre otras. Si la base digital subyacente es débil, la adopción de IA útil y conforme será más lenta de lo que prometen los comunicados.

En ciberseguridad, la conexión es obvia. Más digitalización sin resiliencia equivale a más superficie de ataque con legitimidad política adjunta. NIS2, DORA y el Cyber Resilience Act van precisamente de corregir esa ecuación. El informe de 2026 refuerza la idea de que el éxito de la Década Digital no se medirá solo por cuántos servicios o plataformas se lanzan, sino por si esos servicios son seguros, mantenibles y menos dependientes de fragilidades sistémicas.

Para los equipos de cumplimiento, esto obliga a abandonar un vicio muy extendido: gestionar GDPR, seguridad, terceros, continuidad y adopción de IA como programas paralelos que solo se cruzan en el comité trimestral. Ese modelo ya no aguanta. Si el entorno regulatorio europeo converge hacia resiliencia, trazabilidad y capacidad de prueba, la integración operativa entre funciones deja de ser un lujo organizativo y pasa a ser una necesidad básica.

Qué deberían vigilar ahora las empresas, más allá del titular amable

La noticia oficial es optimista, como suelen serlo estas cosas. La lectura útil, sin embargo, está en las señales que deja para los próximos 12 a 24 meses.

La primera señal es presupuestaria: la financiación digital europea se va a vincular con más fuerza a reformas e inversiones que prueben capacidad real de despliegue. Si tu organización depende de programas europeos, consorcios o contratación pública digital, conviene seguir de cerca cómo se aterrizan esas prioridades en el próximo presupuesto y en convocatorias concretas.

La segunda es supervisora: el lenguaje de “escala, velocidad y consistencia” encaja perfectamente con la evolución de DORA, NIS2 y otras normas que ya no evalúan solo políticas, sino capacidad operativa verificable. En términos sencillos, el regulador europeo está perdiendo interés por la conformidad cosmética.

La tercera es de mercado: semiconductores, cloud, open source, identidad digital, servicios públicos y capacidades de IA seguirán recibiendo atención política e incentivos. Eso puede abrir oportunidades, pero también mover requisitos de contratación, certificación y seguridad. Las decisiones de proveedor que hoy parecen puramente técnicas pueden acabar siendo también decisiones regulatorias o geopolíticas de facto.

La cuarta es organizativa: la escasez de talento digital y de seguridad no se resolverá por generación espontánea. Las compañías que sigan tratando ese déficit como una cuestión de reclutamiento aislado llegarán peor a 2030 que las que lo aborden como un problema de diseño operativo: automatización, simplificación de control, priorización de arquitectura, formación interna y reducción de complejidad innecesaria.

La conclusión incómoda: la UE ya no necesita más visión; necesita ejecución adulta

El informe de 2026 de la Década Digital hace algo valioso: admite, sin dramatismo pero sin demasiado maquillaje, que Europa ya no puede esconder sus retrasos detrás de grandes palabras. Hay progreso, sí. Pero el tiempo de celebrar la existencia de estrategias ha pasado. La cuestión ahora es si la Unión puede convertir ambición regulatoria, financiación e industria en capacidades utilizables antes de 2030.

La respuesta honesta es que todavía no está claro. Europa ha mejorado su marco, ha elevado el nivel regulatorio y ha identificado sectores críticos con más precisión que hace cinco años. Eso cuenta. También ha entendido que la política digital es inseparable de la seguridad, de la competitividad y de la autonomía estratégica. Eso también cuenta. Lo que sigue sin estar resuelto es la parte menos glamourosa: ejecución homogénea, interoperabilidad real, capacidades compartidas, reducción de dependencia excesiva y talento suficiente para sostener todo lo anterior.

Para las empresas, especialmente las reguladas, la lección no es esperar a ver qué hace Bruselas con su próximo presupuesto. La lección es otra: si tu estrategia digital sigue descansando sobre dependencias opacas, talento insuficiente, servicios públicos irregulares y cumplimiento por capas, el entorno europeo no te lo va a poner más fácil. Al contrario. Va a exigir más evidencia, más resiliencia y menos fe.

Europa ya tiene la brújula. Lo que el informe de 2026 deja entrever es algo más incómodo: todavía le faltan carreteras, conductores y un mapa que no cambie cada dos salidas.