Mensajes claveEstados Unidos (EEUU) concibe el poder cibernético como poder público nacional frente a una visión de resiliencia por la Unión Europea (UE).Reducción regulatoria estadounidense frente a una regulación europea proporcional basada en el riesgo.La ciberseguridad ahora es explícitamente geopolítica.AnálisisLa estrategia cibernética de EEUU para 2026 marca un giro hacia un modelo basado en la soberanía, la disuasión y el uso integrado de todo el poder nacional, incluyendo capacidades ofensivas y geopolíticas explícitas. Contrasta con el enfoque de la UE, centrado en la regulación basada en el riesgo, la resiliencia y la gobernanza normativa en ámbitos como la Directiva NIS2, el Reglamento de Inteligencia Artificial (RIA) y el Reglamento de Servicios Digitales (DSA). Aunque existe convergencia en infraestructuras críticas y cadenas de suministro, persisten profundas divergencias que son objeto de estudio en este análisis.La reciente publicación de la Estrategia Cibernética para América de Donald Trump en marzo de 2026[1] marca un retorno decisivo a una concepción enérgica y basada en la soberanía sobre la ciberseguridad y el poder tecnológico del Estado. El texto es retóricamente contundente, estratégicamente expansivo y explícitamente geopolítico. Sitúa el ciberespacio no sólo como un ámbito operativo, sino como un escenario de contienda ideológica, económica y militar.Dicha orientación es muy diferente a la establecida en el vigente derecho digital europeo, especialmente en los últimos instrumentos como la Directiva NIS2[2], el Reglamento de Resiliencia Cibernética[3], el DSA[4], el Reglamento de Mercados Digitales (DMA)[5] y el RIA.[6] Por eso, se ha destinado este trabajo a analizar los pilares fundamentales de la estrategia estadounidense y las consiguientes implicaciones para la gobernanza cibernética de la UE, la filosofía regulatoria y la autonomía estratégica.El poder cibernético como poder público nacional integradoLa estrategia rechaza explícitamente una concepción limitada de la ciberseguridad. Promete que las respuestas a las amenazas cibernéticas “no se limitarán… al ámbito ‘cibernético’” y que, en su lugar, se desplegarán “todos los instrumentos del poder nacional”. Esta declaración refleja una doctrina de disuasión global: operaciones cibernéticas integradas con palancas militares, económicas y diplomáticas.La UE, por el contrario, ha priorizado tradicionalmente un modelo regulatorio basado en el riesgo y orientado a la resiliencia. Si bien la vigente Estrategia de Ciberseguridad de la UE,[7] de 16 de diciembre de 2020, y la Brújula Estratégica para la Seguridad y la Defensa,[8] de 22 de marzo de 2022, reconocen la ciberdefensa activa y la posibilidad de respuestas conjuntas en el marco de la Caja de Herramientas de la Ciberdiplomacia, el enfoque de la Unión sigue estando institucionalmente limitado por las divisiones de competencias y una preferencia por la estabilización frente a la escalada.Washington desea tratar el ciberespacio como un ámbito de compromiso persistente y de perturbación ofensiva. Bruselas, en cambio, lo enmarca principalmente como un ecosistema regulatorio y de resiliencia. Esta asimetría podría complicar las respuestas coordinadas a las operaciones cibernéticas patrocinadas por los Estados, especialmente cuando EEUU adopta medidas disruptivas que la UE considera una escalada.Regulación basada en el sentido común, frente a la regulación basada en el riesgo de la UEUna de las posiciones ideológicas más explícitas de la estrategia estadounidense aparece en el Pilar 2, que aboga por “racionalizar las regulaciones cibernéticas para reducir las cargas de cumplimiento” y evitar que la defensa se reduzca a “una costosa lista de verificación”. Esta redacción supone una crítica inequívoca a los marcos regulatorios con un alto nivel de compliance.Desde el punto de vista de la UE, se trata de un rechazo precisamente al modelo que Europa ha estado perfeccionando. Así, la Directiva NIS2 ha ampliado las obligaciones imperativas en materia de ciberseguridad. El Reglamento de Resiliencia Cibernética ha impuesto requisitos de “seguridad desde el diseño” a los productos digitales. El RIA ha positivizado obligaciones basadas en el riesgo sistémico para los modelos de inteligencia artificial (IA) de alto riesgo y de uso general. Y unos años antes, el Reglamento General de Protección de Datos incorporó la privacidad desde el diseño y la rendición de cuentas como principios jurídicamente exigibles.La estrategia de EEUU enmarca la regulación como algo potencialmente oneroso e inhibidor de la innovación, mientras que la UE la conceptualiza como un instrumento de configuración del mercado que mejora la confianza, la seguridad y la competitividad a largo plazo. A mayor abundamiento, el texto estadounidense equipara la desregulación con la agilidad. La UE, en cambio, equipara las obligaciones estructuradas con la mitigación del riesgo sistémico. No se trata meramente de diferencias políticas, sino que reflejan filosofías de gobernanza distintas.Seguridad de la IA y competencia tecnológica estratégicaEl Pilar 5 hace hincapié en proteger la “pila tecnológica de la IA”, promover la criptografía poscuántica y contrarrestar las plataformas de IA extranjeras que “censuran, vigilan y engañan”. También hace referencia explícita a la IA generativa y agentiva en el contexto tanto de la innovación como de la estabilidad global.Para la UE, esta declaración choca directamente con el régimen de riesgo sistémico del Reglamento de IA, en particular con las obligaciones impuestas a los modelos de IA de uso general con capacidades de alto impacto.[9] El modelo de la UE pone en práctica la gestión de riesgos mediante evaluaciones de conformidad, obligaciones de transparencia, notificación de incidentes y deberes de mitigación del riesgo sistémico.La estrategia de EEUU, por el contrario, enmarca la seguridad de la IA como una cuestión de dominio estratégico y control de la cadena de suministro. Confiere prioridad a la protección de las infraestructuras y a la aceleración de la adopción de IA, en lugar de establecer controles de riesgo ex ante vinculantes.Desde el punto de vista de la UE, especialmente teniendo en cuenta el debate en curso sobre la gestión del riesgo sistémico en la IA generativa (un tema central en la actual doctrina jurídica de la UE), esta diferencia es fundamental. El enfoque estadounidense externaliza la mitigación del riesgo sistémico a mecanismos operativos de defensa y disuasión; la UE, en cambio, la internaliza a través del diseño normativo.Seguridad de las infraestructuras críticas y de la cadena de suministroEl texto se compromete a identificar y reforzar las infraestructuras críticas, a proteger las cadenas de suministro de tecnología operativa y a alejarse de los proveedores adversarios. En este ámbito, la convergencia transatlántica es mayor. La Directiva NIS2 y la Directiva de Resiliencia de Entidades Críticas (CER)[10] de la UE ampliaron de manera similar la cobertura de las entidades esenciales e importantes y hacen hincapié en la gestión de riesgos de la cadena de suministro. Ambas jurisdicciones reconocen que la ciberresiliencia es inseparable de la seguridad económica.Ahora bien, persisten algunas divergencias. EEUU enmarca la seguridad de la cadena de suministro en términos abiertamente geopolíticos (“alejarse de los proveedores adversarios”). La UE equilibra la seguridad con los principios del mercado interior y el cumplimiento del marco de la Organización Mundial del Comercio (OMC), aunque el concepto de “reducción de riesgos” está cobrando protagonismo, especialmente en la recién propuesta Ley de Ciberseguridad 2 (CSA 2)[11] con fecha 20 de enero de 2026, que también sitúa el riesgo geopolítico en el centro de la norma proyectada. Mientras que la estrategia de estadounidense hace hincapié en el refuerzo de las infraestructuras críticas y en el alejamiento de los proveedores adversarios mediante una acción decisiva y enmarcada en términos geopolíticos, la propuesta de CSA 2 de la UE refleja un enfoque estructuralmente diferente: reforzar la ENISA, ampliar los sistemas de certificación a escala de la UE e integrar la seguridad de la cadena de suministro en un marco armonizado del mercado interior.Y es que mientras que Washington se basa en la exclusión estratégica y la discrecionalidad ejecutiva centralizada, Bruselas materializa la confianza a través de la certificación, la convergencia en materia de supervisión y una gestión de riesgos con base jurídica. Los objetivos –infraestructuras resilientes, sistemas OT seguros y menor dependencia de proveedores de alto riesgo– convergen en gran medida, pero la lógica de gobernanza diverge: el modelo estadounidense privilegia la rapidez y las señales geopolíticas, mientras que la CSA 2 refuerza el método característico de Europa de proteger las infraestructuras críticas mediante una arquitectura regulatoria e instrumentos de configuración del mercado, en lugar de la designación política directaCibernética ofensiva y señales de disuasiónLa estrategia estadounidense contiene referencias inusualmente explícitas a las operaciones cibernéticas ofensivas, entre las que se incluyen el desmantelamiento de redes, la imposición de costes y la integración de capacidades cibernéticas en las operaciones militares.La UE carece de una autoridad cibernética ofensiva centralizada. Las capacidades ofensivas residen en los Estados miembros. Si bien algunos Estados miembros ciertamente poseen capacidades avanzadas, la Unión como tal no aplica una doctrina ofensiva unificada. Esto crea una asimetría estructural: EEUU articula una doctrina cibernética centralizada y dirigida políticamente, mientras que la UE opera a través de mecanismos de coordinación y marcos normativos.En la práctica, la cooperación transatlántica continuará, pero las decisiones estratégicas vendrán de Washington. A juicio del autor, Bruselas funcionará principalmente como un estabilizador regulador más que como un motor operativo.Libertad de expresión, gobernanza de las plataformas y constitucionalismo digitalLa estrategia de Trump se compromete a “luchar contra la restricción de la libertad de expresión” y a contrarrestar el “sesgo ideológico” en la IA y las tecnologías digitales extranjeras. La libertad de expresión es fundamental para esta estrategia cibernética porque el documento conceptualiza el ciberespacio no sólo como infraestructura, sino como un ámbito político e informativo en disputa.La estrategia se compromete explícitamente a “luchar contra la restricción de la libertad de expresión” y a contrarrestar las tecnologías extranjeras que incorporan censura o sesgo ideológico. En este marco, la gobernanza de contenidos, la moderación de plataformas, la alineación de modelos de IA y las operaciones de información no son cuestiones reguladoras periféricas, sino instrumentos de poder geopolítico. Como es sabido, los regímenes autoritarios utilizan las plataformas digitales y los sistemas de IA para vigilar, manipular y reprimir a la población; por lo tanto, proteger la libertad de expresión pasa a formar parte de la defensa de la soberanía nacional y la legitimidad democrática de EEUU.Para la UE, este lenguaje choca de forma incómoda con el régimen jurídico de responsabilidad de las plataformas bajo el Reglamento DSA.[12] Éste impone obligaciones de diligencia debida a las plataformas en línea de gran tamaño, incluidas evaluaciones de riesgos sistémicos como la desinformación y la manipulación electoral. Mientras que la estrategia de EEUU considera ciertas prácticas de moderación como restricciones ideológicas, la UE enmarca la gobernanza de las plataformas como algo necesario para salvaguardar la integridad democrática.Las filosofías constitucionales subyacentes difieren: la tradición estadounidense otorga prioridad al maximalismo de la Primera Enmienda, mientras que el modelo de la UE equilibra la libertad de expresión con la dignidad, el orden público y la resiliencia democrática. Es poco probable que estas diferencias desaparezcan y marcarán los diálogos sobre la IA y la gobernanza de las grandes plataformas durante años.ConclusionesDesde una perspectiva estratégica europea, la estrategia de EE. UU. pone de manifiesto tres realidades. Primero, que la ciberseguridad es ahora explícitamente geopolítica. La UE debe seguir evolucionando de un proyecto de integración de mercados a un actor cibernético geopolítico creíble. Segundo, la soberanía regulatoria no es una realidad compartida universalmente. El modelo de gobernanza del riesgo sistémico de la UE, en particular en el marco del RIA, podría enfrentarse a crecientes fricciones transatlánticas si Washington lleva a cabo una desregulación agresiva. Tercero, la alineación es condicional. La convergencia es mayor en materia de protección de infraestructuras críticas, seguridad de la cadena de suministro, criptografía poscuántica y seguridad de la IA a nivel de infraestructuras. En cambio, la divergencia es más marcada en cuanto a la filosofía regulatoria, la gobernanza de las plataformas, la doctrina cibernética ofensiva y el papel de las obligaciones de cumplimiento.Como conclusión, nos encontramos ante dos modelos de orden cibernético. La Estrategia Cibernética para América de Donald Trump ha articulado una visión de la gobernanza cibernética centrada en la soberanía, orientada al poder y con tendencia a la desregulación. Integra la capacidad ofensiva, la disuasión y la competencia económica en una doctrina unificada. La UE, por el contrario, sigue construyendo un orden constitucional digital basado en normas y orientado al riesgo sistémico.Así, la cuestión central para la relación transatlántica no es si la cooperación continuará, sino si estos dos modelos pueden coexistir sin fricciones estructurales. A medida que se aceleran la IA generativa, la computación cuántica y las amenazas híbridas facilitadas por el ciberespacio, la tensión entre la disuasión basada en el poder y la regulación basada en el riesgo definirá la próxima fase de la geopolítica digital mundial.[1]White House (2026), “President Trump’s Cyber Strategy for America”, marzo.[2] Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) nº 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2).[3] Reglamento (UE) 2024/2847 del Parlamento Europeo y del Consejo, de 23 de octubre de 2024, relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) nº 168/2013 y el Reglamento (UE) 2019/1020 y la Directiva (UE) 2020/1828 (Reglamento de Ciberresiliencia).[4] Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo, de 19 de octubre de 2022, relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (Reglamento de Servicios Digitales).[5] Reglamento (UE) 2022/1925 del Parlamento Europeo y del Consejo, de 14 de septiembre de 2022, sobre mercados disputables y equitativos en el sector digital y por el que se modifican las Directivas (UE) 2019/1937 y (UE) 2020/1828 (Reglamento de Mercados Digitales).[6] Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial y por el que se modifican los Reglamentos (CE) nº 300/2008, (UE) nº 167/2013, (UE) nº 168/2013, (UE) 2018/858, (UE) 2018/1139 y (UE) 2019/2144 y las Directivas 2014/90/UE, (UE) 2016/797 y (UE) 2020/1828 (Reglamento de Inteligencia Artificial).[7] JOIN (2020) 18 final.[8] ST-7371-2022-INIT.[9] Sobre ellos, véase: Barrio Andrés, M. (2025), Reglamento UE de inteligencia artificial (Incluye los actos de desarrollo y ejecución de la AI Act), Ed. Francis Lefebvre, Madrid, cap. 5.[10] Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a la resiliencia de las entidades críticas y por la que se deroga la Directiva 2008/114/CE del Consejo.[11] 2026/0011 (COD).[12] Moretón Toquero, Mª A. y R. Cetina Presuel (dir.) (2024), El nuevo Reglamento de servicios digitales de la Unión Europea: Nuevo enfoque regulatorio y garantías frente a los desórdenes informativos, Ed. Aranzadi, Madrid.Autor: Moisés Barrio AndrésLa entrada “America First” en el ciberespacio: comentario a la estrategia cibernética de Trump para 2026 se publicó primero en Real Instituto Elcano.