Skip to main content
Logotipo de la Comisión Europea
Configurar el futuro digital de Europa

Marco de Certificación de Ciberseguridad de la UE

El marco de certificación de la ciberseguridad de la UE permite sistemas de certificación de la UE adaptados y basados en el riesgo.

La certificación desempeña un papel crucial en el aumento de la confianza y la seguridad en productos y servicios críticos para el mundo digital. En la actualidad, existen en la UE diversos sistemas de certificación de la seguridad para los productos de TIC. Sin embargo, sin un marco común para los certificados de ciberseguridad válidos a escala de la UE, existe un riesgo creciente de fragmentación y barreras entre los Estados miembros.

El marco de certificación

El marco de certificación proporcionará sistemas de certificación a escala de la UE como un conjunto completo de normas, requisitos técnicos, normas y procedimientos. El marco se basará en un acuerdo a escala de la UE sobre la evaluación de las propiedades de seguridad de un producto o servicio específico basado en las TIC. Dará fe de que los productos y servicios de TIC que hayan sido certificados de conformidad con dicho régimen cumplen los requisitos especificados.

En particular, cada régimen europeo debe especificar:

  • Las categorías de productos y servicios cubiertos;
  • los requisitos de ciberseguridad, como normas o especificaciones técnicas;
  • El tipo de evaluación, como la autoevaluación o un tercero;
  • El nivel de garantía previsto.

Los niveles de garantía se utilizan para informar a los usuarios del riesgo de ciberseguridad de un producto, y pueden ser básicos, sustanciales y / o altos. Son proporcionales al nivel de riesgo asociado con el uso previsto del producto, servicio o proceso, en términos de probabilidad e impacto de un accidente. Un alto nivel de garantía significaría que el producto certificado pasó las pruebas de seguridad más altas.

El certificado resultante

El certificado resultante será reconocido en todos los Estados miembros de la UE, facilitando a las empresas el comercio transfronterizo y a los compradores la comprensión de las características de seguridad del producto o servicio.

Para obtener más información sobre el trabajo realizado en materia de certificación cibernética de la UE, consulte la certificación de ciberseguridad de ENISA.

El primer Sistema de Certificación de la Ciberseguridad de la UE sobre Criterios Comunes (CCUE)

El primer esquema que se adoptará bajo el marco de certificación de la Ley de Ciberseguridad se basa en la reconocida norma internacional Common Criteria, utilizada para emitir certificados en Europa desde hace casi 30 años. El sistema aprovecha la gran reputación de los proveedores y certificadores europeos que utilizan la certificación basada en criterios comunes en todo el mundo. El régimen comenzará a estar disponible para los proveedores a partir del 27 de febrero de 2025.

El régimen se aplicará a escala de la UE, sobre una base voluntaria, y se centrará en certificar la ciberseguridad de los productos de TIC en su ciclo de vida, en particular:

  • Sistemas biométricos
  • Firewalls (tanto hardware como software)
  • Plataformas de detección y respuesta
  • Enrutadores
  • Interruptores
  • Software especializado (como SIEM y sistemas IDS/IDP)
  • Diodos de datos
  • Sistemas operativos (incluso para dispositivos móviles)
  • Almacenamiento encriptado
  • Bases de datos
  • Tarjetas inteligentes y elementos seguros incluidos en todo tipo de productos, como en los pasaportes utilizados diariamente por todos los ciudadanos. 

Para obtener más información sobre el EUCC, consulte el sitio web de certificación de ENISA.

Un marco europeo renovado de certificación de la ciberseguridad

El 20 de enero de 2026, la Comisión propuso un Reglamento de Ciberseguridad revisado por el que se renueva el Marco Europeo de Certificación de la Ciberseguridad (ECCF). La propuesta garantizará que los productos y servicios que llegan a los consumidores de la UE se sometan a pruebas de seguridad de manera más eficiente. El nuevo ECCF aportará más claridad y simplificará los procedimientos para el desarrollo de regímenes en un plazo de doce meses por defecto. También introducirá una gobernanza más ágil y transparente para implicar mejor a las partes interesadas a través de la información y la consulta públicas.

Los sistemas de certificación, gestionados por ENISA, se convertirán en una herramienta práctica y voluntaria para las empresas. Permitirán a las empresas demostrar el cumplimiento de la legislación de la UE, reduciendo la carga y los costes. Para los ciudadanos, las empresas y las autoridades públicas de la UE, garantizará un alto nivel de seguridad y confianza en las complejas cadenas de suministro de TIC. 

Programa de trabajo evolutivo de la Unión para la certificación europea de la ciberseguridad (URWP)

El programa de trabajo evolutivo de la Unión sobre la certificación europea de la ciberseguridad se publicó al mismo tiempo que el primer régimen de certificación de la ciberseguridad a escala de la UE. El primer URWP esboza prioridades estratégicas para futuros esquemas europeos de certificación de la ciberseguridad, teniendo en cuenta la reciente evolución legislativa y del mercado, como la Ley de Ciberresiliencia (CRA) y el Reglamento Europeo de Identidad Digital. Con el tiempo, esto podría dar lugar a solicitudes de nuevos regímenes cuando sea necesario y apropiado. Además, describe las prioridades estratégicas que deben tenerse en cuenta a la hora de preparar cualquier esquema europeo de certificación de la ciberseguridad. 

La URWP destaca los siguientes ámbitos para la futura certificación europea de la ciberseguridad vinculada a la legislación de la UE:

  • Carteras de identificación
  • Servicios de seguridad gestionados
  • Sistemas de Automatización y Control Industrial
  • Desarrollo del ciclo de vida de la seguridad sobre la base de los requisitos de las ACC
  • Mecanismos criptográficos

El Grupo Europeo de Certificación de la Ciberseguridad (ECCG)

El Grupo Europeo de Certificación de la Ciberseguridad (ECCG) se creó para ayudar a garantizar la aplicación y ejecución coherentes del Reglamento de Ciberseguridad. Está compuesto por representantes de las autoridades nacionales de certificación de la ciberseguridad o por representantes de otras autoridades nacionales pertinentes. El ECCG es fundamental para la preparación del esquema de certificación candidato y la implementación general del marco de certificación.

El Grupo de Certificación de Ciberseguridad de Partes Interesadas (SCCG)

Tras la entrada en vigor del Reglamento de Ciberseguridad en 2019, se creó el Grupo de Partes Interesadas para la Certificación de la Ciberseguridad (SCCG). 

El SCCG es responsable de asesorar a la Comisión y a ENISA sobre cuestiones estratégicas relativas a la certificación de la ciberseguridad y de asistir a la Comisión en la preparación del programa de trabajo evolutivo de la Unión. Se trata del primer grupo de expertos de las partes interesadas para la certificación de la ciberseguridad puesto en marcha por la Comisión Europea.

Seguir el trabajo del Grupo

Últimas noticias

Navegar @tema

Contenidos relacionados

Visión general

Políticas de ciberseguridad de la UE

La Unión Europea trabaja en diversos frentes para promover la ciberresiliencia, salvaguardando nuestra comunicación y nuestros datos y manteniendo la seguridad de la sociedad y la economía en línea.

En detalle

Last update

20 enero 2026

Imprimir como PDF