Glosario · Marco europeo de ciberseguridad

Reglamento de Ciberseguridad de la UE (Reglamento de Ciberseguridad de la UE (Reglamento UE 2019/881))

El reglamento de la UE de 2019 que establece el marco fundacional para la certificación de ciberseguridad de la UE, bajo el cual se adoptan el EUCC (productos), el EUCS (servicios en la nube) y otros esquemas sectoriales de certificación. También consolidó a ENISA como agencia permanente de ciberseguridad de la UE. La capa constitucional sobre la que descansa toda la arquitectura europea de certificación de ciberseguridad.

## Qué es realmente el Reglamento de Ciberseguridad de la UE El Reglamento de Ciberseguridad de la UE (Reglamento UE 2019/881, a menudo abreviado CSA por sus siglas en inglés) es el reglamento europeo fundacional que establece el marco para la certificación de ciberseguridad de la UE para productos, servicios y procesos TIC. Adoptado en 2019 y en vigor desde junio de 2019, hace dos cosas esenciales: 1. **Establece el marco europeo de certificación de ciberseguridad**: la autoridad legal bajo la cual se adoptan, mediante reglamento de ejecución, esquemas de certificación específicos ([EUCC](/es/glossary/eucc/) para productos, [EUCS](/es/glossary/eucs/) para servicios en la nube, y otros por venir). 2. **Consolida de forma permanente a ENISA** como la agencia de ciberseguridad de la UE: pasa de mandatos de duración limitada a un estatus institucional permanente en la UE con responsabilidades ampliadas, incluida la gestión del marco de certificación. Sin el Reglamento de Ciberseguridad de la UE, ni el EUCC, ni el EUCS, ni otros trabajos sectoriales de certificación europea de ciberseguridad tendrían base legal. Es la capa constitucional de toda la arquitectura. ## Qué establece el Reglamento de Ciberseguridad El reglamento crea el marco operativo en tres pilares. ### Pilar 1: marco europeo de certificación de ciberseguridad El CSA define: - **Esquemas de certificación**: programas específicos de certificación adoptados mediante reglamentos de ejecución de la Comisión bajo el marco del CSA - **Niveles de garantía**: básico, sustancial, alto (el alto requiere supervisión de la NCA) - **Organismos de Evaluación de la Conformidad (CAB)**: laboratorios acreditados que realizan las evaluaciones - **Autoridades Nacionales de Certificación de Ciberseguridad (NCCA)**: autoridades de los Estados miembros que supervisan la certificación - **Grupo Europeo de Certificación de Ciberseguridad (ECCG)**: órgano de coordinación de las autoridades de los Estados miembros - **Reconocimiento mutuo**: validez en toda la UE de las certificaciones emitidas bajo esquemas basados en el CSA ### Pilar 2: mandato ampliado de ENISA Antes del CSA, ENISA operaba con mandatos de duración limitada. El CSA hizo permanente el rol de ENISA y amplió sus responsabilidades: - **Coordinación operativa**: papel central en la implementación de la política europea de ciberseguridad - **Desarrollo de esquemas de certificación**: preparación de esquemas candidatos para su adopción por la Comisión - **Desarrollo de capacidades**: apoyo al desarrollo de capacidades de ciberseguridad de los Estados miembros - **Gestión de crisis cibernéticas**: coordinación de la respuesta a nivel de la UE a incidentes a gran escala - **Estándares y política**: participación directa en la formulación de la política europea de ciberseguridad - **Sensibilización**: actividades educativas y de divulgación a escala de la UE ### Pilar 3: proceso de adopción de certificaciones de ciberseguridad El CSA establece un proceso estructurado para adoptar nuevos esquemas de certificación: 1. **Solicitud de la Comisión**: la Comisión solicita a ENISA que prepare un esquema candidato 2. **Preparación por ENISA**: consulta multiagente, desarrollo del esquema (normalmente 18-36 meses) 3. **Adopción por la Comisión**: la Comisión adopta el esquema mediante reglamento de ejecución 4. **Implementación por los Estados miembros**: las NCCA operacionalizan el esquema a nivel nacional 5. **Evolución continua**: revisión y actualización periódicas Este proceso está actualmente operativo para el EUCC (adoptado en 2024), el EUCS (en curso, en disputa) y esquemas emergentes para 5G, IA y otros dominios tecnológicos. ## Esquemas adoptados bajo el Reglamento de Ciberseguridad de la UE A fecha de 2026, los siguientes esquemas se encuentran en distintas etapas bajo el marco del CSA: | Esquema | Objeto | Estado | |--------|---------|--------| | **EUCC** | Productos TIC (basado en Common Criteria) | Adoptado en febrero de 2024 | | **EUCS** | Servicios en la nube | En curso, políticamente en disputa | | **Certificación 5G de la UE** | Redes y componentes 5G | Fase preparatoria | | **Certificación de ciberseguridad de IA** | Sistemas de IA | En debate | | **Certificación IoT de la UE** | Productos IoT | Fase preparatoria | Cada esquema se adopta mediante reglamento de ejecución de la Comisión bajo el marco del CSA. El CSA en sí no especifica el contenido del esquema; especifica el marco dentro del cual operan los esquemas. ## Por qué importa el Reglamento de Ciberseguridad ### 1. Capa constitucional para la certificación europea de ciberseguridad Sin el CSA, la certificación europea de ciberseguridad o bien no existiría a nivel UE o bien operaría sin un marco coherente. El CSA aporta la estructura constitucional que hace legalmente posibles el EUCC y el EUCS. ### 2. Permanencia institucional de ENISA La elevación por el CSA de ENISA, pasando de tener un mandato de duración limitada a un estatus de agencia permanente, es materialmente significativa. ENISA puede ahora realizar inversiones estratégicas a largo plazo, contratar personal especializado permanente y operar como un par de las agencias europeas consolidadas. ### 3. Mecanismo de reconocimiento mutuo Las disposiciones de reconocimiento mutuo del CSA significan que una certificación emitida bajo un esquema basado en el CSA en un Estado miembro tiene validez legal automática en toda la UE. Esto es operativamente significativo: antes del CSA, los esquemas nacionales de certificación no se trasladaban automáticamente. ### 4. Arquitectura de coordinación El ECCG crea un mecanismo de coordinación para las autoridades nacionales de certificación de ciberseguridad de los Estados miembros. Es el equivalente al Comité Europeo de Protección de Datos para la certificación de ciberseguridad, y opera de forma similar. ### 5. Fundamento de soberanía El CSA habilita implícitamente las dimensiones de soberanía de la certificación europea de ciberseguridad, incluidos los criterios de soberanía en disputa del EUCS. Sin el marco del CSA, estos debates no se darían a nivel UE. ## Cómo afecta el Reglamento de Ciberseguridad a las compras tecnológicas ### Para los proveedores tecnológicos europeos Las certificaciones basadas en el CSA (EUCC, eventualmente EUCS, esquemas sectoriales) aportan señales creíbles para procesos de compra. Lograr la certificación abre oportunidades en compra pública y en sectores regulados a las que los proveedores no certificados no pueden acceder. ### Para los compradores del sector público europeo Las certificaciones basadas en el CSA son cada vez más obligatorias o preferentes para compras sensibles. Varios Estados miembros han integrado esquemas específicos del CSA en sus marcos de compra. ### Para los proveedores con sede en EE. UU. Los proveedores estadounidenses pueden buscar la certificación basada en el CSA, pero se enfrentan a retos específicos: - El **EUCC** es técnicamente alcanzable (sin requisito de soberanía para los proveedores) - Los requisitos de soberanía del **EUCS High** pueden excluir la participación directa de proveedores estadounidenses - Los **esquemas sectoriales** varían en su posicionamiento sobre soberanía Para los proveedores estadounidenses que buscan acceso a mercados regulados de la UE, la certificación basada en el CSA es cada vez más un requisito estratégico previo. ### Para los equipos de compras El estatus de certificación basada en el CSA es cada vez más un criterio estándar de compra junto a ISO 27001, SOC 2 y certificaciones específicas por país. El marco del CSA está proporcionando un lenguaje estructurado para las compras europeas de ciberseguridad. ## Reglamento de Ciberseguridad vs otra regulación europea de ciberseguridad | Regulación | Objeto | Relación | |------------|---------|--------------| | **Reglamento de Ciberseguridad de la UE** | Marco de certificación + ENISA | Fundacional | | **NIS2** | Obligaciones de ciberseguridad a nivel de entidad | Se apoya en las capacidades del CSA | | **Reglamento de Ciberresiliencia** | Requisitos de ciberseguridad a nivel de producto | Hace referencia a las certificaciones del CSA | | **Reglamento de Ciberresolidaridad** | Respuesta colectiva de ciberseguridad de la UE | Coordinada con ENISA (habilitada por el CSA) | | **Directiva CER** | Resiliencia de entidades críticas (no ciber) | Marco paralelo | | **DORA** | Resiliencia operativa de servicios financieros | Específica del sector | El CSA es la capa fundacional; las demás se apoyan en él u operan en paralelo. ## Reglamento de Ciberseguridad 2.0 (en debate en 2026) La Comisión Europea ha comenzado a considerar una versión actualizada del Reglamento de Ciberseguridad de la UE (informalmente CSA 2.0) para: - **Agilizar los procesos** de adopción de certificaciones - **Ampliar aún más el mandato de ENISA** a la luz de la experiencia operativa - **Atender necesidades emergentes de certificación** (IA, poscuántica, escala IoT) - **Reforzar los mecanismos** de reconocimiento mutuo - **Alinearse con la experiencia** de implementación de NIS2 El CSA 2.0 está en una etapa temprana de debate a fecha de 2026; es poco probable que el proceso legislativo concluya antes de 2027-2028. ## Implicaciones prácticas - **Para proveedores tecnológicos europeos**: las certificaciones basadas en el CSA son cada vez más relevantes en los procesos de compra; siga la disponibilidad de esquemas para su categoría de producto - **Para compras del sector público**: las certificaciones del marco CSA proporcionan criterios estructurados de evaluación - **Para proveedores estadounidenses que sirven a mercados de la UE**: la certificación basada en el CSA es cada vez más un requisito previo en sectores regulados y en compra pública - **Para equipos de política y cumplimiento**: entienda el CSA como la capa constitucional bajo los esquemas sectoriales - **Para la relación con ENISA**: el CSA otorga a ENISA una autoridad institucional que hace materialmente significativo su trabajo de política El Reglamento de Ciberseguridad de la UE es el reglamento individual más relevante de la arquitectura europea de certificación de ciberseguridad. Sus disposiciones concretas importan menos que el marco que establece, bajo el cual opera realmente el ecosistema operativo de certificación de ciberseguridad (EUCC, EUCS, esquemas sectoriales).

Alternativas UE relacionadas en BetterInEurope

Términos relacionados

← Volver al glosario