Glosario · Ciberseguridad de la UE

EUCS (European Cybersecurity Certification Scheme for Cloud Services)

Esquema paneuropeo propuesto de certificación de ciberseguridad para servicios en la nube, destinado a armonizar los enfoques nacionales y definir niveles comunes de garantía. Políticamente controvertido por los requisitos de soberanía; aún en desarrollo en 2026.

## Qué es realmente EUCS EUCS — European Cybersecurity Certification Scheme for Cloud Services — es un marco de certificación paneuropeo propuesto que se está desarrollando al amparo de la **EU Cybersecurity Act (2019)**. Su objetivo es proporcionar una forma única y armonizada de que los proveedores cloud demuestren su garantía de ciberseguridad en toda la UE, sustituyendo el mosaico actual de esquemas nacionales ([Cloud de Confiance](/es/glossary/cloud-de-confiance/), [BSI C5](/es/glossary/bsi-c5/), ACN italiano, ENS español, etc.). EUCS es desarrollado por **ENISA** (la Agencia de la UE para la Ciberseguridad) en coordinación con los Estados miembros. A principios de 2026, el esquema **aún no está finalizado**: ha sido políticamente disputado desde alrededor de 2022, principalmente por cuánto debe exigir su nivel más alto de garantía en términos de soberanía. ## Estructura propuesta EUCS define **tres niveles de garantía**: ### Basic Autoevaluación o verificación por un organismo de evaluación de la conformidad. Apropiado para servicios cloud de bajo riesgo. El proveedor declara conformidad con los criterios EUCS Basic. ### Substantial Auditoría por tercero según controles más estrictos. Aproximadamente equivalente a una base ISO 27001 + 27017. Apropiado para cargas de trabajo empresariales generales. ### High El más estricto. Auditoría por tercero con supervisión continua. Aproximadamente el nivel necesario para cargas reguladas, datos sensibles del sector público y operadores de servicios esenciales bajo [NIS2](/es/glossary/nis2/). La batalla política se ha centrado sobre todo en qué debería exigir 'High' en cuanto a soberanía. ## La controversia sobre la soberanía El borrador original (2022) de EUCS High incluía **requisitos de soberanía** muy similares al SecNumCloud / Cloud de Confiance francés: el proveedor debía ser estructuralmente inmune al derecho fuera de la UE (en particular la CLOUD Act estadounidense y las obligaciones chinas de seguridad nacional). **Francia, España, Italia y Alemania** apoyaron inicialmente criterios de soberanía firmes en el nivel High. **Irlanda, Países Bajos, Suecia, Polonia y los países nórdicos** se opusieron alegando que: 1. Los criterios de soberanía son proteccionistas (excluyen deliberadamente a los hiperscalers estadounidenses) 2. La certificación de ciberseguridad debe centrarse en la *seguridad*, no en la jurisdicción jurídica 3. Excluir a los hiperscalers reduce la elección del comprador Han circulado múltiples borradores revisados. Algunos eliminaron la soberanía por completo de High; otros la trasladaron a una capa opcional separada; otros mantuvieron versiones más suaves. A 2026, el esquema no ha sido adoptado y la cuestión de la soberanía sigue siendo el principal bloqueo. ## Por qué importa EUCS ### 1. Mercado único de la UE para certificación cloud Si se finaliza, EUCS sustituiría los esquemas nacionales por una única cualificación a escala europea: una reducción sustancial de la sobrecarga de cumplimiento para los proveedores cloud. ### 2. Línea base por defecto de ciberseguridad bajo NIS2 Las entidades esenciales e importantes de NIS2 mirarán cada vez más a EUCS como la forma canónica de demostrar la seguridad de un proveedor cloud. Hasta que EUCS se finalice, se apoyan en los esquemas nacionales. ### 3. El debate sobre la soberanía es en sí la historia La pelea de varios años revela la política cloud de la UE. Los defensores de la soberanía quieren herramientas regulatorias que hagan visible y elegible la exposición a los hiperscalers. Los Estados favorables a los hiperscalers quieren mercados competitivos sin proteccionismo jurídico. El resultado final dará forma al paisaje cloud de la UE durante una década. ### 4. Efecto contagio sobre otras regulaciones El pensamiento EUCS está influyendo en la [Cyber Resilience Act](/es/glossary/cyber-resilience-act/), en las disposiciones de seguridad de la AI Act y en los requisitos de seguridad de la Data Act. ## Estado actual (a 2026) - **Múltiples borradores** han circulado desde 2022 - **Sin adopción final** - **Los esquemas nacionales continúan** siendo la realidad operativa - **Cloud de Confiance y BSI C5 mantienen su primacía** en sus respectivos mercados - **Negociación política en curso** a nivel de la UE El esquema no está oficialmente abandonado, pero los avances son lentos. ## Qué significaría en la práctica la finalización de EUCS ### Si High incluye soberanía fuerte - Los hiperscalers deben operar a través de empresas conjuntas controladas en Europa (patrón S3NS / Bleu) para cumplir High - Las envolturas de soberanía al estilo francés se convierten en la expectativa europea para cargas reguladas - Los proveedores cloud auténticamente europeos (OVHcloud, Hetzner, Scaleway, Open Telekom Cloud) ganan ventaja competitiva en contrataciones clasificadas como High ### Si High prescinde de la soberanía - Los hiperscalers (AWS, Azure, Google) pueden cualificar directamente para High - Los esquemas nacionales de soberanía (Cloud de Confiance) se mantienen *más* estrictos que EUCS High - Los compradores que buscan soberanía miran más allá de EUCS, hacia los esquemas nacionales ### Si High exige soberanía como capa opcional - El High por defecto resulta alcanzable para los hiperscalers - 'EUCS High + soberanía' se convierte en el nivel comercializado para cargas sensibles - Compromiso que a nadie le encanta pero que todos toleran El tercer escenario parece el más probable a 2026. ## EUCS frente a esquemas relacionados | Esquema | Alcance | Soberanía | |--------|-------|-------------| | EUCS (propuesto) | Ciberseguridad cloud paneuropea | Disputada | | Cloud de Confiance | Nube soberana francesa | Estricta | | BSI C5 | Base alemana de seguridad cloud | Suave (documenta exposición) | | SOC 2 | General internacional | Ninguna | | ISO 27001/27017/27018 | Cloud internacional | Ninguna | ## Implicaciones prácticas Para los compradores europeos de tecnología en 2026: - **EUCS aún no es operativo**; apóyese en los esquemas nacionales - **Vigile la resolución de la soberanía en el nivel High** — indicará hacia dónde va la nube de la UE - **Las empresas conjuntas cloud de la UE de hiperscalers** (S3NS, Bleu, Numspot) apuestan por una soberanía estricta - **Para cargas muy sensibles hoy**, use esquemas nacionales que ya ofrezcan soberanía (Cloud de Confiance) - **Para cargas generales**, ISO 27001/27017 + C5 es la base de trabajo hasta que llegue EUCS ## Qué traerá 2026-2027 - **Negociación política continua** a nivel de Consejo y Comisión - **Posible finalización** de EUCS en 2026 o 2027 - **Los Estados miembros preparan la implementación** independientemente de la forma final - **El posicionamiento de los hiperscalers** a través de estructuras de empresas conjuntas europeas continúa EUCS sigue siendo el asunto sin resolver de mayor impacto en la regulación cloud de la UE.

Alternativas UE relacionadas en BetterInEurope

Términos relacionados

← Volver al glosario