Glosario · Certificación europea de ciberseguridad

EUCC (Esquema europeo de certificación de ciberseguridad basado en Common Criteria)

Primer esquema europeo de certificación de ciberseguridad adoptado al amparo de la Cybersecurity Act. Aprobado mediante el Reglamento de Ejecución (UE) 2024/482 de la Comisión, en febrero de 2024. Se aplica a productos TIC (hardware, software, componentes) y se basa en el estándar internacional Common Criteria, con niveles de garantía específicos de la UE.

## Qué es realmente EUCC EUCC es el **esquema europeo de certificación de ciberseguridad basado en Common Criteria**. Es el primer esquema de certificación de ciberseguridad adoptado a nivel europeo dentro del marco establecido por la EU Cybersecurity Act (Reglamento 2019/881). EUCC se adoptó en **febrero de 2024** mediante el Reglamento de Ejecución (UE) 2024/482 de la Comisión, tras varios años de trabajos preparatorios liderados por [ENISA](/es/glossary/enisa/). Cubre productos TIC, esto es, hardware, software y componentes, y se construye sobre el estándar internacional Common Criteria (ISO/IEC 15408), referencia global para la certificación de ciberseguridad a nivel de producto desde los años noventa. Conviene subrayar que EUCC **no** es lo mismo que [EUCS](/es/glossary/eucs/). EUCC se refiere a productos. EUCS es el esquema propuesto (y discutido) para los servicios en la nube. Son reglamentos hermanos que abordan categorías distintas. ## Por qué importa EUCC Antes de EUCC, la certificación de ciberseguridad de productos TIC en Europa estaba fragmentada en esquemas nacionales. Francia tenía el CSPN (emitido por ANSSI). Alemania contaba con la certificación Common Criteria del BSI. Países Bajos, Italia, España y los países nórdicos disponían de sus propias variantes. Un producto certificado en un país no era reconocido automáticamente en otro, aunque ambas certificaciones se basaran en Common Criteria. EUCC cierra esa brecha creando una única certificación europea con reconocimiento mutuo en todos los Estados miembros. Un dispositivo certificado al nivel de garantía "alto" de EUCC en Alemania tiene ahora la misma validez jurídica en Francia, Italia y en toda la UE. ## Qué certifica EUCC EUCC certifica *objetivos de evaluación*, habitualmente: - **Módulos de seguridad de hardware (HSM)**, para la gestión de claves criptográficas. - **Tarjetas inteligentes y elementos seguros**: tarjetas de pago, chips de identidad electrónica, tarjetas SIM. - **Sistemas embebidos**: para IoT, control industrial y automoción. - **Núcleos de sistemas operativos y componentes críticos para la seguridad**. - **Equipos de red**: cortafuegos, dispositivos de cifrado. - **Productos de PKI y autoridades de certificación**. El alcance de la certificación es el producto real frente a un conjunto definido de requisitos funcionales de seguridad y un nivel de garantía. ## Niveles de garantía EUCC EUCC define dos niveles de garantía por encima del nivel "básico" de referencia de la Cybersecurity Act: ### Sustancial Equivalente a Common Criteria EAL 1 a EAL 4. Incluye evaluación de vulnerabilidades basada en amenazas conocidas públicamente, pruebas de penetración básicas y requisitos de documentación estándar. Adecuado para productos de seguridad de propósito general. ### Alto Equivalente a Common Criteria EAL 5 a EAL 7. Incluye evaluación avanzada de vulnerabilidades, pruebas de penetración sofisticadas frente a amenazas de nivel estatal, modelado formal de seguridad para funciones críticas y una revisión exhaustiva de la documentación de diseño. Exigible para productos que manejan seguridad nacional, infraestructuras críticas o grandes transacciones financieras. Ambos niveles de garantía implican una evaluación en laboratorio por parte de un Organismo de Evaluación de la Conformidad acreditado. Las certificaciones de nivel "alto" requieren además la supervisión de la autoridad nacional de certificación (NCA), es decir, la agencia nacional de ciberseguridad (ANSSI en Francia, BSI en Alemania) valida directamente la evaluación. ## Cómo se relaciona EUCC con los esquemas existentes EUCC asume y reemplaza explícitamente los esquemas nacionales existentes basados en Common Criteria: | Esquema previo a EUCC | País | Estado bajo EUCC | |------------------|---------|---------------------| | CSPN | Francia (ANSSI) | Continúa por ahora; solapamiento con el "sustancial" de EUCC | | BSI Common Criteria | Alemania | Las certificaciones EUCC se reconocen plenamente | | OCSI | Italia | Plenamente integrado en EUCC | | CCN | España | Las certificaciones EUCC son reconocidas | | NSCIB | Países Bajos | Plenamente integrado en EUCC | Los esquemas nacionales continúan existiendo durante un periodo de transición. Con el tiempo, o bien quedarán absorbidos por EUCC, o bien se mantendrán para casos de uso muy concretos (por ejemplo, productos sometidos a clasificación nacional). ## Obligatorio frente a voluntario En el marco de la Cybersecurity Act, las certificaciones europeas de ciberseguridad son, por defecto, *voluntarias*. Los proveedores pueden certificar sus productos para obtener una ventaja comercial, pero no están obligados a hacerlo. Los Estados miembros pueden, no obstante, hacer obligatoria la certificación EUCC para categorías concretas de productos en virtud de su derecho nacional. Varios ya lo están haciendo: - **Francia**: ANSSI está convirtiendo EUCC en obligatorio de facto para los productos destinados a contratación pública y operadores de servicios esenciales. - **Alemania**: el BSI está integrando la certificación EUCC en la regulación de infraestructuras críticas. - **Estonia, Finlandia, Países Bajos**: están alineando sus marcos de contratación pública con la preferencia por EUCC. La [Cyber Resilience Act](/es/glossary/cyber-resilience-act/), que impone requisitos de ciberseguridad a nivel de producto en toda la UE, contempla EUCC como una vía reconocida de evaluación de la conformidad. Los productos con certificación EUCC se benefician de la presunción de conformidad con el CRA. Este es el principal motor de adopción. ## EUCC y los proveedores con sede en EE. UU. A diferencia de [SecNumCloud](/es/glossary/secnumcloud/) y de los discutidos criterios de soberanía de EUCS, EUCC no impone requisitos de estructura societaria ni de jurisdicción al *proveedor*. Un fabricante de hardware con sede en EE. UU. puede obtener la certificación EUCC para un producto diseñado y fabricado conforme al estándar. Lo que EUCC sí exige es que la *evaluación* la realice un laboratorio acreditado con base en la UE bajo supervisión europea. El producto puede fabricarse en cualquier lugar; la evaluación debe producirse dentro del perímetro regulatorio de la UE. Esto es coherente con la tradición de Common Criteria: reconocimiento global, evaluación local. ## Qué significa EUCC en la práctica ### Para los fabricantes de productos TIC Si vende módulos de seguridad de hardware, tarjetas inteligentes, sistemas embebidos seguros o equipos de seguridad de red en mercados europeos, la certificación EUCC se está convirtiendo en una expectativa de partida más que en un elemento diferenciador. Los compradores del sector público y de sectores regulados aceptarán cada vez menos productos sin EUCC para casos de uso sensibles. ### Para los compradores europeos La certificación EUCC es una evidencia significativa de la seguridad de un producto. Un producto con certificación EUCC "alto" ha pasado por una evaluación en un laboratorio europeo acreditado bajo la supervisión de la autoridad nacional de ciberseguridad. Esto es materialmente distinto de las declaraciones de seguridad autodeclaradas. ### Para los proveedores estadounidenses y globales Participar en EUCC requiere inversión: habitualmente entre 200.000 y 500.000 euros para una certificación de nivel "sustancial" de un producto de complejidad moderada; bastante más para el nivel "alto". Esta barrera es intencional. Los proveedores dispuestos a invertir en EUCC señalan un compromiso serio con los mercados europeos. ### Para los investigadores de ciberseguridad Los informes de certificación EUCC publicados se convierten en documentación pública de alta calidad sobre las características de seguridad de los productos. Estos informes son consultables a través de la base de datos de certificación de ENISA. ## Qué traerán 2026-2027 - **Más productos certificados al nivel "alto" de EUCC** a medida que el esquema madure. - **Finalización de EUCS**, el esquema hermano para servicios en la nube, aún políticamente discutido por los criterios de soberanía. - **Esquema europeo de certificación 5G** siguiendo el patrón de EUCC, previsiblemente en 2027. - **Certificación europea de IA**, en debate como posible tercer esquema a nivel de la UE. - **Negociaciones de reconocimiento cruzado** con regímenes de certificación extracomunitarios (en particular, el FIPS estadounidense y los esquemas emergentes del Reino Unido). ## Implicaciones prácticas - **Para las empresas europeas que eligen productos TIC**: la certificación EUCC es significativa y cada vez más relevante en contratación. - **Para los fabricantes europeos de TIC**: invertir en certificación se está volviendo necesario para posicionarse seriamente ante el sector público europeo. - **Para los fabricantes estadounidenses y globales**: participar en EUCC es la vía de acceso al sector público europeo para productos críticos en materia de seguridad. - **Para los reguladores europeos**: EUCC es la base; cabe esperar esquemas paralelos para nube (EUCS), 5G, IA y otros dominios tecnológicos. EUCC sienta el precedente de una certificación europea de ciberseguridad que funciona entre fronteras sin prejuzgar la soberanía. EUCS, para la nube, plantea la misma pregunta con respuestas mucho más disputadas políticamente.

Alternativas UE relacionadas en BetterInEurope

Términos relacionados

← Volver al glosario