🟢 ACTIVO CIBERSEGURIDAD
EUCC / EUCS

Certificación de Ciberseguridad (Cybersecurity Act · EUCC/EUCS)

Reg. (UE) 2019/881

Marco europeo VOLUNTARIO de certificación de ciberseguridad de productos, procesos y servicios de TIC, con mandato permanente de ENISA (Cybersecurity Act, en vigor desde 2019). Bajo él se adoptan esquemas concretos. SPLIT a día de hoy: el EUCC (esquema basado en Common Criteria, Reg. de Ejecución (UE) 2024/482) es plenamente aplicable desde el 27/2/2025 y permite certificar productos de TIC (hardware/software, chips, tarjetas) en distintos niveles de garantía; en cambio, el EUCS (esquema de servicios de nube) sigue siendo un esquema candidato NO adoptado (bloqueado por el debate sobre requisitos de soberanía), igual que otros esquemas en desarrollo (5G, identidad digital). Un certificado EUCC puede dar presunción de conformidad con ciertos requisitos del Reglamento de Ciberresiliencia (CRA); la NIS2 puede inducir a exigir proveedores certificados. La certificación es voluntaria salvo que otra norma la exija.

Estado en ÆGIS: activo. Flujo completo: evaluación guiada que detecta tus obligaciones, plantillas de documento listas para producir, y el agente razonando con citación literal verificada. Disponible desde el plan Pro.

Datos clave

A QUIÉN OBLIGA
Fabricantes y proveedores de productos, procesos y servicios de TIC (hardware, software, componentes, servicios gestionados, nube) que quieran o necesiten acreditar su nivel de ciberseguridad mediante certificación europea.
SANCIÓN MÁXIMA
Indirecta (la certificación es voluntaria; efectos contractuales y de mercado)
EN VIGOR DESDE
Marco desde 2019 · EUCC aplicable desde el 27/2/2025 · EUCS aún no adoptado
AUTORIDAD
ENISA · autoridades nacionales de certificación de ciberseguridad
FUENTE OFICIAL
https://eur-lex.europa.eu/eli/reg/2019/881/oj

Obligaciones y artículos clave

El agente razona y cita literalmente sobre estos puntos. 7 referencias cargadas en el motor — muestra de 4.

Cybersecurity Act + EUCC · Marco y primer esquema
Certificación voluntaria de productos TIC con niveles de garantía

El Cybersecurity Act (Reglamento (UE) 2019/881) establece un marco europeo de esquemas de certificación de ciberseguridad para productos, servicios y procesos TIC, con tres niveles de garantía (básico, sustancial, alto), coordinado por ENISA. El primer esquema operativo es el EUCC (Reglamento de Ejecución (UE) 2024/482, aplicable desde febrero de 2025), basado en los Common Criteria, para certificar productos TIC de forma voluntaria. La certificación armonizada sustituye al mosaico de certificaciones nacionales y facilita la confianza transfronteriza.

EUCS · Esquema de nube (en preparación)
El esquema para servicios en la nube todavía no está adoptado

El esquema europeo de certificación de ciberseguridad para servicios en la nube (EUCS) sigue en fase de preparación: ENISA ha trabajado borradores, pero el esquema no se ha adoptado formalmente, en parte por el debate sobre los requisitos de soberanía (criterios de inmunidad frente a legislación de terceros países). Por tanto, hoy no existe una certificación EUCS exigible; conviene seguir su evolución y, mientras tanto, apoyarse en el EUCC para productos y en certificaciones reconocidas (p. ej., ENS o ISO/IEC 27001) para servicios.

Cybersecurity Act · Marco voluntario y a quién aplica
Marco europeo de certificación de ciberseguridad TIC

El Reglamento (UE) 2019/881 (Cybersecurity Act), en vigor desde el 27/6/2019, otorga a ENISA un mandato permanente y crea un marco europeo VOLUNTARIO de certificación de la ciberseguridad de productos, procesos y servicios de tecnologías de la información y la comunicación (TIC). Interesa sobre todo a fabricantes y proveedores de productos o servicios TIC (hardware, software, componentes, servicios gestionados, nube) que quieran o necesiten demostrar el nivel de ciberseguridad de su oferta. El marco no impone por sí mismo la certificación: define cómo se crean y operan los esquemas europeos de certificación, que se adoptan uno a uno.

Cybersecurity Act · EUCC (esquema Common Criteria) aplicable
Primer esquema adoptado y aplicable desde 2025

El primer esquema adoptado bajo el marco es el EUCC, el esquema europeo de certificación de la ciberseguridad basado en Common Criteria, establecido por el Reglamento de Ejecución (UE) 2024/482 (de 31/1/2024). Entró en vigor el 27/2/2024 y es plenamente aplicable desde el 27/2/2025. Permite certificar productos de TIC —como hardware y software, por ejemplo chips o tarjetas inteligentes— en distintos niveles de garantía mediante organismos de evaluación y laboratorios acreditados. La certificación EUCC es voluntaria, pero ya está operativa y disponible para quien quiera acreditar la seguridad de sus productos en el mercado de la UE.

Qué puedes hacer con este marco en ÆGIS

EVALUACIÓN INTERACTIVA
Árbol de decisión guiado

Un cuestionario adaptativo determina qué obligaciones de EUCC / EUCS aplican a cada cliente y detecta sus brechas. El resultado alimenta los documentos y el universo de controles.

Iniciar evaluación →
DOCUMENTOS QUE GENERA · 1
Plantillas legales listas para producir
  • Expediente de certificación de ciberseguridad (EUCC/EUCS)

Cruces con otros marcos

Estos marcos comparten obligaciones convergentes con EUCC / EUCS. El agente las razona como un sistema, no como silos.

ACTIVO
CRA
ACTIVO
NIS2
Empieza a usar este marco · Pro

29 €/mes · garantía 60 días · sin tarjeta para probar