Datos clave
| Normativa | Decisión (PESC) 2026/1716 del Consejo, de 13 de julio de 2026 |
|---|---|
| Publicación | 14 de julio de 2026 |
| Entrada en vigor | 13 de julio de 2026 |
| Afectados | Operadores, contratistas y entidades participantes en el Programa Espacial de la UE y el Programa de Conectividad Segura (GOVSATCOM/IRIS²) |
| Categoría | Normativa Europea — Política Exterior y de Seguridad Común (PESC) |
| Ejercicio | 2026 |
| Referencia oficial | OJ:L_202601716 |
Los operadores y contratistas que trabajan con infraestructuras críticas espaciales europeas tienen nuevas obligaciones de seguridad que entran en vigor de forma inmediata. La Decisión (PESC) 2026/1716 del Consejo, publicada el 14 de julio de 2026 y vigente desde el día anterior, establece instrucciones específicas y vinculantes para todos los sistemas y servicios asociados al Programa Espacial de la Unión Europea y al Programa de Conectividad Segura —conocido como GOVSATCOM/IRIS²—.
No se trata de una recomendación ni de una guía de buenas prácticas: al amparo de la Política Exterior y de Seguridad Común (PESC), estas instrucciones generan obligaciones directas para los Estados miembros y para todos los actores —públicos y privados— que participen en dichos programas.
¿Qué establece esta normativa?
La Decisión regula tres ámbitos de actividad sobre las infraestructuras espaciales críticas de la UE:
- Despliegue: condiciones de seguridad técnica y operativa en la puesta en marcha de sistemas y servicios espaciales.
- Operación: requisitos continuos durante el funcionamiento de las infraestructuras vinculadas a GOVSATCOM e IRIS².
- Utilización: normas de acceso y uso para entidades que se sirvan de estos sistemas en su actividad.
Los mecanismos concretos de cumplimiento que establece la norma son:
| Mecanismo | Descripción |
|---|---|
| Auditorías de seguridad | Verificación periódica del cumplimiento de los requisitos técnicos y operativos establecidos en las instrucciones. |
| Controles de acceso | Protocolos específicos para limitar y gestionar el acceso a los sistemas e infraestructuras críticas. |
| Gestión de información sensible | Protocolos específicos para el tratamiento, almacenamiento y transmisión de información clasificada o sensible en el ámbito espacial europeo. |
El carácter vinculante en el marco de la PESC es un elemento diferenciador clave: a diferencia de otras normativas de carácter técnico o sectorial, esta Decisión no admite transposición discrecional por parte de los Estados miembros. Su aplicación es directa e inmediata.
Impacto económico y operativo
La norma no establece sanciones económicas concretas ni importes de multa en el texto publicado. Sin embargo, el impacto operativo para las entidades afectadas es significativo en varios planos:
- Costes de adaptación: Las organizaciones deberán revisar y, en su caso, actualizar sus sistemas de control de acceso, sus procedimientos de auditoría interna y sus protocolos de gestión de información sensible para alinearse con las instrucciones.
- Recursos humanos especializados: El cumplimiento de instrucciones de seguridad en el ámbito espacial y de conectividad gubernamental requiere personal con habilitación de seguridad y conocimiento técnico específico.
- Riesgo de exclusión contractual: El incumplimiento de las instrucciones puede derivar en la pérdida de contratos o habilitaciones para participar en los programas IRIS² y Programa Espacial de la UE, con el consiguiente impacto económico directo para las empresas contratistas.
- Impacto en la cadena de suministro: Los contratistas principales deberán trasladar estas exigencias a sus subcontratistas y proveedores que tengan acceso a los sistemas o a información sensible relacionada.
¿A quién afecta?
La Decisión (PESC) 2026/1716 afecta directamente a:
- Operadores de sistemas espaciales que despliegan o gestionan infraestructuras vinculadas al Programa Espacial de la UE.
- Contratistas y subcontratistas que prestan servicios técnicos, de mantenimiento o de desarrollo en el marco de GOVSATCOM o IRIS².
- Entidades que utilizan los servicios de conectividad segura gubernamental proporcionados por estos programas.
- Estados miembros de la UE, que tienen obligaciones directas derivadas del marco PESC.
- Organismos públicos y agencias que accedan o gestionen información en el ámbito de estos programas espaciales.
Quedan fuera del ámbito de esta Decisión los operadores de telecomunicaciones comerciales o satelitales que no participen específicamente en los programas GOVSATCOM o IRIS² de la Unión Europea.
Ejemplo práctico
Una empresa de ingeniería aeroespacial española que actúa como contratista en el programa IRIS² para el desarrollo de componentes de la constelación de satélites deberá, a partir del 13 de julio de 2026:
- Someterse a auditorías de seguridad conforme a las instrucciones establecidas en la Decisión, que verificarán sus procedimientos técnicos y operativos.
- Implantar o actualizar sus controles de acceso a los sistemas e instalaciones donde se trabaje con información o componentes del programa, restringiendo el acceso solo al personal habilitado.
- Establecer protocolos específicos para la gestión de cualquier información sensible generada o recibida en el marco del contrato, incluyendo su almacenamiento y transmisión.
- Trasladar estas exigencias a sus proveedores y subcontratistas que tengan acceso, aunque sea parcial, a los sistemas o información del programa.
Si esta empresa no adapta sus procedimientos, se expone a perder la habilitación de seguridad necesaria para continuar participando en el contrato, lo que equivale a la resolución efectiva del mismo.
¿Qué deben hacer las empresas ahora?
- Identificar si participas en los programas afectados: Revisa si tu actividad está vinculada al Programa Espacial de la UE, a GOVSATCOM o a IRIS². Si tienes contratos activos o en negociación con la Agencia de la UE para el Programa Espacial (EUSPA) o con la Comisión Europea en este ámbito, estás afectado.
- Revisar los contratos vigentes: Comprueba si tus contratos incluyen cláusulas de seguridad que ya referencien o deban actualizarse conforme a la nueva Decisión PESC 2026/1716.
- Auditar los controles de acceso actuales: Evalúa si tus sistemas de control de acceso físico y lógico cumplen con los requisitos de seguridad que exige la norma para infraestructuras críticas espaciales.
- Actualizar los protocolos de gestión de información sensible: Revisa los procedimientos internos para el tratamiento de información clasificada o sensible y adáptalos a las instrucciones de la Decisión.
- Extender las obligaciones a la cadena de suministro: Comunica a tus subcontratistas y proveedores con acceso a sistemas o información del programa que también quedan sujetos a estas instrucciones de seguridad.
- Consultar con asesor especializado en seguridad PESC: Dada la naturaleza vinculante y el ámbito de la Política Exterior y de Seguridad Común, es recomendable contar con asesoramiento jurídico especializado en normativa de seguridad europea.
Preguntas frecuentes
¿Cuándo entra en vigor la Decisión PESC 2026/1716 y qué plazo hay para adaptarse?
La Decisión entró en vigor el 13 de julio de 2026, un día antes de su publicación en el Diario Oficial de la UE (14 de julio de 2026). No se establece un periodo transitorio en los datos disponibles, por lo que las obligaciones son de aplicación inmediata para los operadores, contratistas y entidades afectadas.
¿A qué programas espaciales europeos afecta esta normativa de seguridad?
La Decisión afecta específicamente al Programa Espacial de la Unión Europea y al Programa de Conectividad Segura de la Unión, que incluye los componentes GOVSATCOM e IRIS². No aplica a operadores de telecomunicaciones satelitales comerciales que no participen en estos programas específicos.
¿Qué obligaciones concretas impone la norma a los contratistas?
La Decisión impone tres tipos de obligaciones concretas: someterse a auditorías de seguridad, implantar controles de acceso específicos a sistemas e instalaciones, y aplicar protocolos para la gestión de información sensible en el ámbito espacial europeo. Estas obligaciones aplican tanto al despliegue como a la operación y utilización de los sistemas.
¿Qué ocurre si una empresa no cumple con las instrucciones de seguridad de la PESC?
Aunque la Decisión no detalla sanciones económicas concretas, el incumplimiento de las instrucciones de seguridad en el marco de la PESC puede derivar en la pérdida de habilitaciones de seguridad y, por tanto, en la exclusión de los contratos vinculados al Programa Espacial de la UE o a IRIS²/GOVSATCOM, con el consiguiente impacto económico directo.
¿Las obligaciones de esta Decisión afectan también a los subcontratistas?
Sí. Las instrucciones de seguridad se aplican a todos los actores que participen en el despliegue, operación o utilización de los sistemas, lo que incluye a subcontratistas y proveedores con acceso a los sistemas o a información sensible relacionada con los programas. Los contratistas principales son responsables de trasladar estas exigencias a su cadena de suministro.
Fuente oficial
Consultar normativa completa en fuente oficial
Aviso: Este artículo tiene carácter meramente informativo y no constituye asesoramiento legal. Para decisiones específicas, consulte a un profesional cualificado. Fuente: https://eur-lex.europa.eu/./legal-content/AUTO/?uri=OJ:L_202601716