Conferencia Europea de Certificación en Ciberseguridad, 15 de abril de 2026

El 15 de abril de 2026, ENISA celebró su Conferencia Europea de Certificación en Ciberseguridad en Ayia Napa (Chipre), co-organizada con la Presidencia chipriota y la Comisión Europea. Un día, formato híbrido, seis bloques temáticos: el EUCC en su primer año de operación, la propuesta de CSA2 y su revisión del Marco Europeo de Certificación de Ciberseguridad (ECCF), el papel de la certificación bajo el Reglamento de Ciberresiliencia, una nueva vía NIS2 a través del esquema de postura ciber, el esquema de la Cartera de Identidad Digital de la UE, ya en consulta pública, y el esquema europeo de Servicios de Seguridad Gestionados (MSS) en su borrador v4.

La preocupación del público que dominó la jornada, según el recuento de votos del Q&A online, no fue un esquema concreto. Fue si los resultados de certificación pueden o deben usarse para inferir el cumplimiento de NIS2, dado que la supervisión de NIS2 recae en autoridades distintas. Cinco de las siete preguntas más votadas giraban en torno a esa misma tensión. La abordamos en su propio apartado más abajo.

A continuación, un resumen estructurado de lo que realmente se dijo, con atribución a ponentes allí donde el programa y las transcripciones coinciden.

Resumen

• CSA2 es un reglamento propuesto que revisa el Marco Europeo de Certificación de Ciberseguridad y modifica la directiva NIS2. Extensión del borrador: 271 páginas, según los ponentes.
• El ECCF sustituye al marco actual con provisiones modelo, mecanismos formales de mantenimiento y un plazo por defecto de 12 meses para desarrollar esquemas candidatos.
• Cifras en vivo del EUCC (Juhan Lepassaar, director ejecutivo de ENISA): 29 certificados emitidos, 28 organismos de evaluación de la conformidad en la UE, Europa concentra más del 60% de los aproximadamente 350 certificados Common Criteria mundiales emitidos cada año, y todos los certificados CC europeos están en CC-1 desde febrero de 2026.
• La infraestructura de conformidad del CRA es el mayor hito de implementación del Reglamento este año, según Maika Fohrenbach (DG CONNECT): los Estados miembros deben designar autoridades competentes antes de junio de 2026, y debe haber suficientes organismos notificados antes de diciembre de 2026, un año antes de la plena aplicación del CRA.
• La consulta pública del esquema EUDI Wallet arrancó el 3 de abril de 2026; las siguientes fechas clave van desde la validación del borrador por el AHWG el 16-17 de abril de 2026 hasta la finalización por el ECCG en septiembre-octubre de 2026.
• El esquema EU MSS está en borrador v4, enviado al grupo de trabajo ad hoc el 9 de abril de 2026; el borrador v3 (enviado el 20 de marzo de 2026) recibió 250 comentarios agrupados en nueve temas. La consulta pública está prevista para principios de julio de 2026.
• Las críticas del sector a la proliferación fueron contundentes. Steffen Zimmermann (VDMA) puso cifras encima de la mesa: alrededor del 80% de los miembros de la VDMA son pymes, de las cuales aproximadamente el 90% se ven afectadas por NIS2 y el CRA.
• La prioridad del público ese día no fue ningún esquema concreto. Fue la tensión entre usar resultados de certificación para inferir cumplimiento de NIS2 y el hecho de que la supervisión NIS2 es obligatoria y recae en autoridades distintas (cinco de las siete preguntas más votadas).

29

Certificados emitidos

bajo EUCC, primer año

28

Organismos de conformidad

acreditados en la UE

60%+

Cuota global CC

de ~350 certificados anuales

CC-1

Nivel de garantía

todos los CC de la UE, feb. 2026

Fuente: Juhan Lepassaar, director ejecutivo, ENISA, conferencia inaugural.

CSA2 y el nuevo ECCF

Maika Fohrenbach (DG CONNECT) presentó la propuesta de la Comisión. Se estructura en torno a cuatro pilares:

1. Un marco armonizado de gestión del riesgo de la cadena de suministro TIC, a nivel UE por primera vez.
2. Un Marco Europeo de Certificación de Ciberseguridad (ECCF) revisado.
3. Medidas de simplificación de NIS2, construidas alrededor de un nuevo esquema de postura ciber (apartado propio más abajo).
4. Refuerzo del mandato de ENISA (apoyo a Estados miembros, conciencia situacional, liderazgo en normalización, atestación de competencias).

Tres cambios del ECCF importan a los fabricantes:

Respecto a mantenimiento y herramientas para partes interesadas, CSA2 reconoce formalmente a ENISA como gestor de esquemas, con un subgrupo ECCG dedicado a cada esquema. Sustituye al actual Grupo de Partes Interesadas en Certificación de Ciberseguridad (SCCG) y al Programa de Trabajo Continuo de la Unión por una Asamblea Europea de Certificación de Ciberseguridad más portales de información de la Comisión y de ENISA. La base legal para las especificaciones técnicas redactadas por ENISA, a partir de los documentos "state of the art" del EUCC, queda incorporada en la propuesta.

Las reacciones del panel fueron directas. Helge Kreutzmann (BSI) señaló dos carencias del borrador. Primera: CSA2 mantiene la antigua división autorización más notificación en lugar de pasar plenamente al mecanismo de notificación del Nuevo Marco Legislativo. Segunda: el alcance no se amplió con suficiente decisión. El borrador certifica servicios pero no a sus proveedores, mientras que varios Estados miembros ya certifican a proveedores y personal clave, y la Ley de Ciber Solidaridad así lo pide. Kreutzmann: "We think this should carry over on the European level, that we can actually certify the providers." ("Creemos que esto debe trasladarse al nivel europeo, de manera que podamos certificar también a los proveedores.")

Suzana Pavlidou (NCCA Chipre) y Apostolos Malatras (jefe de Unidad de Certificación de Ciberseguridad, ENISA) acompañaron a Philippe Blot como moderador. Goran Gotov (Zscaler) planteó desde el público una preocupación estructural: la Asamblea se reúne una vez al año y los grupos ad hoc son específicos por esquema, lo que adelgaza la aportación macro del sector frente al modelo anterior. Richard Skalt (TIC Council; responsable de advocacy en ciberseguridad en TÜV SÜD) reclamó un compromiso firme de 12 meses para el desarrollo de esquemas por ENISA, y preguntó si CSA2 integrará la ISO/IEC 27001 y el esquema belga "Cyber Fundamentals" en la vía de simplificación NIS2. No hubo compromiso firme sobre esa integración en el escenario.

Postura ciber y NIS2: lo que el público realmente preguntó

El feed del Q&A dejó clara la prioridad del público. Las siete preguntas más votadas de la jornada (de 14 a 19 votos cada una) no iban sobre rendimiento del EUCC ni sobre capacidad de los OEC. Iban sobre la misma preocupación estructural, formulada de siete maneras: ¿pueden los resultados de certificación usarse legítimamente para inferir el cumplimiento de NIS2, cuando la supervisión de NIS2 es obligatoria y la ejercen autoridades distintas?

La respuesta de Fohrenbach se repartió entre su presentación y el Q&A. Conviene separar tres piezas:

Sobre las dos preguntas del público que no recibieron respuesta en el escenario, no rellenamos los huecos. Las señalamos:

Para quien esté planificando en torno a NIS2, la lectura honesta es esta. El esquema de postura ciber es la vía preferida por la Comisión. La mecánica jurídica que haría robusta esa vía (el reglamento de ejecución con armonización máxima, el acuerdo con los Estados miembros sobre el vínculo) está en negociación activa. Si estás construyendo hoy una estrategia de cumplimiento, no des por hecho que "certificar bajo postura ciber y NIS2 queda resuelto" como un hecho consolidado para tu jurisdicción. Vigila el trílogo.

Donde la certificación se cruza con el CRA

La conexión con el CRA que hizo Fohrenbach fue la señal más clara del día para fabricantes. Titular para 2026: construir la infraestructura de evaluación de la conformidad. Las normas armonizadas llegarán después, y de forma desigual.

El CRA cubre productos de software, productos de hardware y componentes comercializados por separado. Así distribuyó Fohrenbach el mercado:

Bajo el Anexo VIII del CRA, los módulos del Nuevo Marco Legislativo disponibles son los Módulos B + C (examen UE de tipo) y el Módulo H (certificación del sistema de calidad). La intención declarada de la Comisión es especificar, antes de finales de 2026, cómo puede usarse el EUCC para demostrar conformidad con el CRA; ENISA está ejecutando 18 pilotos sobre presunción de conformidad EUCC-CRA, con un taller previsto en Atenas.

El camino hasta la plena aplicación del CRA, en una sola vista:

El trabajo de armonización ocurre en un grupo informal a nivel de Comisión con las autoridades notificantes, siendo una de las preguntas abiertas clave cómo notificar cuando las normas armonizadas aún no están disponibles. Fohrenbach señaló a CENELEC como motor del trabajo de normas armonizadas. La hipótesis de trabajo entre Estados miembros: apalancarse en OEC ya acreditados bajo el Acto Delegado de la Directiva de Equipos Radioeléctricos (RED DA) y el ecosistema EUCC, y acelerar su vía para la notificación bajo el CRA.

Para el estado actual de la elección de módulo mientras los esquemas CSA siguen pendientes, consulta nuestra guía de decisión para la evaluación de la conformidad.

La brecha de capacidad de los OEC

El panel de capacidad de OEC fue la sesión con más carga operativa del día. Moderó Eric Vetillard; en el panel: Christin Hartung-Kümmerling (BSI, online), Xenia Kyriakidou (responsable de la NCCA de Chipre, autoridad notificante y de vigilancia del mercado chipriota para el CRA, y vicepresidenta del comité ADCO CRA), Richard Skalt (TIC Council / TÜV SÜD) y Nikolaos Soumelidis (Q-CERT).

Algunos datos del panel que conviene destacar:

• Dos tercios de los países europeos no tienen todavía un organismo nacional de acreditación eIDAS, según Soumelidis. Grecia, por ejemplo, no tiene uno.
• BSI está preparando la notificación bajo Módulo H como la vía más escalable para el CRA, según Hartung-Kümmerling. BSI no prioriza el Módulo B para el CRA; reconoció que otros Estados miembros van por la vía del Módulo B, pero no los nombró.
• Chipre, Alemania y la mayoría del resto de Estados miembros se apoyarán en sus organismos nacionales de acreditación para acreditar a efectos del CRA. El fast-track vía RED DA o acreditación EUCC está sobre la mesa.
• Encuesta interna del TIC Council (Skalt): dos tercios de los miembros del TIC Council planean contar con más de 50 expertos en ciberseguridad dedicados a finales de 2026, y el 40% de los miembros ya está notificado para EUCC.
• ADCO CRA es el Grupo de Cooperación Administrativa de las autoridades de vigilancia del mercado de los Estados miembros para el CRA; Kyriakidou es su vicepresidenta.

Stefan Zimmermann (VDMA) preguntó desde el público a Hartung-Kümmerling qué Estados miembros están preparando la notificación bajo el Módulo B. Ella rehusó nombrarlos en el escenario. La pregunta está viva porque afecta a si un fabricante que quiera la vía del examen UE de tipo tendrá un organismo notificado disponible en su mercado doméstico el 11 de diciembre de 2027.

Desde la perspectiva del fabricante, se siguen tres cosas. Primera, si tu categoría de producto te obliga a evaluación por tercera parte, revisa ya el plan de tu Estado miembro. "Organismos notificados suficientes para diciembre de 2026" es una aspiración política, no una garantía por jurisdicción. Segunda, el fast-track RED DA / EUCC es la vía más plausible de expansión de capacidad, pero implica que tu conjunto probable de OEC lo marcan los organismos que ya sirven a los mercados de equipos radioeléctricos o Common Criteria. Tercera, el Módulo H (sistema de calidad) está escalando más rápido que el Módulo B (examen de tipo) en al menos un Estado miembro grande, con implicaciones para cómo preparas la evidencia.

La sesión matinal de Steffen Zimmermann (VDMA) afiló la visión del sector. Alrededor del 80% de los miembros de la VDMA son pymes de menos de 250 empleados, y aproximadamente el 90% de esas están afectadas por NIS2 y el CRA. Su crítica en cinco partes a la certificación fue rotunda:

1. Not invented here. Se desestiman IEC 62443, ISO/IEC 27001 y TISAX en favor de esquemas nativos UE.
2. No es suficiente. La misma IEC 62443 se declara insuficiente en cuanto aparece el CRA.
3. Certificado sin confianza. La metodología propietaria lleva a las partes interesadas a reclamar nuevos esquemas con el mismo defecto de transparencia.
4. Creemos demanda de mercado. Los esquemas voluntarios con poca adopción se acaban imponiendo vía compra pública en lugar de replantearse.
5. Ilusión de cumplimiento. El certificado sigue vigente mientras la seguridad se degrada.

Sobre las normas armonizadas bajo el CRA, su frase citable: "Harmonised standards do not cover all functionalities. They are developed to address the core functionality listed in the annexes. So a product may be in conformance for the core functionality, but the CRA demands conformity for the entire product." ("Las normas armonizadas no cubren todas las funcionalidades. Se desarrollan para abordar la funcionalidad principal listada en los anexos. Así, un producto puede estar en conformidad por su funcionalidad principal, pero el CRA exige conformidad para el producto entero.")

Certificación del EUDI Wallet

Evgenia Nikolouzou (ENISA) recorrió la trayectoria del esquema EUDI Wallet. La solicitud de la Comisión llegó en mayo de 2024; en octubre de 2024 se lanzó una convocatoria de manifestaciones de interés con 26 expertos seleccionados para el grupo de trabajo ad hoc; el AHWG arrancó en enero de 2025 y desarrolló 7 plenarias y 4 grupos temáticos hasta febrero de 2026; el esquema se sometió a revisión en abril de 2026 y la consulta pública se abrió el 3 de abril de 2026.

El esquema cubre la cartera más el esquema subyacente de eID, y debe cubrir productos, servicios y procesos por la estructura de eIDAS. La evaluación es en dos fases: la fase 1 es revisión de arquitectura y dependencias, la fase 2 es pruebas y análisis de vulnerabilidades, seguidas de emisión del certificado y vigilancia. Se usan dos niveles de garantía: la capa de hardware resistente a manipulación la gestiona el EUCC en AVA_VAN.4 / .5, y la capa de aplicación la gestionan los esquemas nacionales en AVA_VAN.3.

El cronograma que presentó Nikolouzou se ancla en estos hitos: validación por el AHWG del borrador v0.4 el 16-17 de abril de 2026; cierre del periodo de comentarios del ECCG el 1 de junio de 2026; inicio de la consulta pública a principios de julio de 2026; finalización por el ECCG en septiembre-octubre de 2026. Para un análisis detallado de lo que exige el esquema de la cartera a los solicitantes y lo que ello anticipa para futuros esquemas adyacentes al CRA, consulta nuestro análisis del esquema EUDI Wallet.

Esquema de Servicios de Seguridad Gestionados

Vicente Gonzalez Pedros (ENISA) abrió la sesión de tarde sobre el esquema EU MSS, seguida de un panel moderado por Georgia Bafoutsou (ENISA) con Paloma Llaneza (Digital Trust Scheme Manager, CerteIDAS), Adrian Pauna (Oracle), Marios Ioannou (Columbia Group), Oscar Boizard (ANSSI) y Pablo Fernández (responsable de Centros de Operaciones de Seguridad, CCN-CNI).

La solicitud de la Comisión llegó a ENISA a finales de abril de 2025. La solicitud original cubría la vertical del ciclo de vida de la gestión de incidentes; ENISA la dividió en perfiles de servicio y eligió la respuesta a incidentes como primer perfil a construir. Según la Ley de Ciber Solidaridad, una vez que un esquema europeo cubre un servicio contratado por esa vía, los proveedores deben certificarse dos años después de que el esquema esté operativo.

La arquitectura del esquema tiene dos capas:

• Una capa horizontal de requisitos base comunes, agnóstica en normas y en servicios, aplicable a todos los MSS.
• Una capa vertical de requisitos técnicos específicos por servicio (gestión del ciclo de vida, pericia, escenarios de respuesta a incidentes, colaboración entre partes interesadas, requisitos de recursos).

Dos puntos de Gonzalez Pedros que conviene destacar. La capa horizontal nunca se certifica por sí sola: el certificado es siempre para el servicio, nunca para el proveedor. Y la capa horizontal se alinea con NIS2 pero no certifica cumplimiento NIS2. La cobertura de NIS2 corresponde al esquema de postura ciber, no al MSS.

Sobre el AHWG: llegaron más de 200 propuestas por la convocatoria abierta. El grupo de trabajo de respuesta a incidentes se formó con 30 expertos, y se mantuvo una lista de reserva de 70 más para futuros perfiles de servicio. El AHWG se nombró oficialmente el 29 de septiembre de 2025.

Progresión del borrador (desde la diapositiva del AHWG):

• Borrador principal v3 enviado al AHWG el 20 de marzo de 2026.
• 250 comentarios recibidos, agrupados en nueve temas: relación con NIS2, niveles de garantía para múltiples perfiles, normas y metodologías de evaluación, supervisión transfronteriza, alineación terminológica, alcance de certificación (específico del cliente frente a general), costes de repetición de evaluación, diálogos con NCCA y OEC, y confidencialidad en los informes de certificación.
• Borrador principal v4 enviado al AHWG el 9 de abril de 2026.

Una aclaración estructural de Gonzalez Pedros: el esquema MSS no tiene ITSEF (a diferencia del EUCC). CAB y CB se reconciliarán en un único término en el siguiente borrador. La acreditación de OEC se hace contra la ISO/IEC 17065, y el esquema reutiliza la misma metodología de evaluación que ENISA está usando para la cartera europea.

El cronograma que expuso: validar el borrador v4 el 16-17 de abril de 2026; primer borrador al ECCG para comentarios con un mes de revisión por los Estados miembros; atender comentarios en unas dos semanas; consulta pública desde principios de julio de 2026 durante 1,5 meses; reunión a mediados de septiembre de 2026 para atender los comentarios de la consulta; refrendo del esquema en el ECCG para octubre de 2026.

Qué aportaron los panelistas

Paloma Llaneza (CerteIDAS) defendió el argumento central para un esquema a nivel UE: sin él, los proveedores se certifican en 27 Estados miembros por separado, y solo las grandes firmas pueden permitírselo. Su referencia fue eIDAS-2, donde un reglamento más un acto de ejecución sustituyeron 27 normas nacionales por una única norma europea. Llaneza es la editora de la ETSI EN 319 401 (Política y requisitos de seguridad para Proveedores de Servicios de Confianza), que posicionó como el modelo de proporcionalidad en funcionamiento: la capa horizontal es una base común única, las verticales se apilan modularmente encima.

Adrian Pauna (Oracle) planteó el argumento multinacional: un esquema UE estandariza el cumplimiento entre jurisdicciones, y las metodologías de pruebas de penetración necesitan una definición clara dentro del esquema. Señaló un problema estructural específico del pentesting: hoy se certifica a nivel de persona (OSCP, OSCE), lo que hace estructuralmente difícil la certificación a nivel de servicio hasta que el mercado evolucione. Su recomendación para las siguientes verticales: primero detección, después pentesting.

Marios Ioannou (Columbia Group, Chipre) presentó la credencial UE como abridor de puertas: reconocimiento en todo el territorio, y participación en la Reserva Europea de Ciberseguridad. Sobre incidentes transfronterizos, apuntó que una respuesta España-Chipre-Malta es mucho más sencilla cuando todas las partes comparten las mismas capacidades base.

Oscar Boizard (ANSSI) trazó la línea más nítida de la sesión, sobre certificación frente a cualificación:

Kreutzmann (BSI) defendió que CSA2 habilite la cualificación a nivel de proveedor en la UE, más allá de la actual certificación a nivel de servicio.

Francia opera cuatro esquemas de cualificación de ANSSI alineados con las categorías del EU MSS (consultoría, auditoría, detección, respuesta), más PAMS para administración. PASSI es el más antiguo y cuenta con la mayor base de proveedores cualificados. La introducción de un nivel sustancial cambió de forma material la composición de proveedores: entraron pymes con seis o siete profesionales competentes. La recomendación de Boizard para la siguiente vertical: auditoría, como quick win, porque las normas ya existen.

Pablo Fernández (CCN-CNI) aportó cifras concretas del enfoque español. El esquema español de MSS arrancó hace aproximadamente cuatro años, construido sobre el ENS (Esquema Nacional de Seguridad), que acumula unos 16 años de historia. El modelo MSS es la Guía CCN-STIC 896 apilada sobre el ENS, alineada con NIS2, las modificaciones de la Ley de Ciber Solidaridad y los entrantes CSA2 y EU MSS. Las cifras que publicó la diapositiva del CCN: 3.578 entidades certificadas bajo ENS, 25 servicios MSS certificados prestados por 5 MSSP, y 304 SOC integrados en la red nacional de SOC. Fernández indicó que la CCN-STIC 896 estará disponible en inglés "in a couple of weeks" ("en un par de semanas"), lo que es directamente accionable para lectores fuera de España.

Dónde aterrizaron los panelistas respecto a qué vertical MSS debería construirse a continuación:

Un detalle útil desde el público: una pregunta de la sala planteó la soberanía como factor (proveedores MSS nacionales soberanos frente a multinacionales). La respuesta de Llaneza fue que se necesita regulación a nivel UE para sustituir 27 esquemas nacionales, siguiendo el precedente de eIDAS-2. La de Ioannou, que una base común entre Estados miembros es lo que permite a las empresas trabajar juntas de verdad en un incidente transfronterizo.

Qué significa esto para los fabricantes que comercializan bajo el CRA

El hito del CRA en el que hay que concentrarse entre hoy y el 11 de diciembre de 2027 es la capacidad de evaluación de la conformidad, no las normas armonizadas. Las normas armonizadas llegarán tarde y de forma desigual. La designación de autoridades competentes es un plazo de junio de 2026. La disponibilidad de organismos notificados es una aspiración de diciembre de 2026. Si tu producto está en Importante Clase II, tu conjunto de OEC lo marcan mucho los organismos ya notificados para EUCC o acreditados bajo la RED DA.

Para los fabricantes de la categoría por defecto y de Importante Clase I, la implicación práctica es que la elección de módulo importa más de lo habitual este año. El Módulo H (sistema de calidad) tiene señales de escalado más claras en al menos un Estado miembro grande; la disponibilidad del Módulo B (examen de tipo) es irregular y no está mapeada públicamente. Si puedes cualificar legítimamente bajo normas armonizadas cuando estén disponibles, esa ruta elimina una dependencia del suministro de OEC.

La presunción de conformidad EUCC-CRA vía Acto Delegado aún no es transitable, pero es la pieza de infraestructura más específica en construcción. Los 18 pilotos y el objetivo declarado por la Comisión para finales de 2026 de especificar cómo el EUCC apoya la conformidad con el CRA son lo que hay que seguir en los próximos dos trimestres.

El esquema MSS no es directamente una preocupación de producto bajo el CRA. Importa porque es el segundo esquema CSA en redacción activa, tras el EUDI Wallet, y llegará antes que el primer esquema específico del CRA. Las decisiones metodológicas que ENISA consolide aquí (acreditación de OEC bajo ISO/IEC 17065, la metodología de evaluación alineada con la cartera) se trasladarán después a los esquemas adyacentes al CRA.

Próximos pasos

Este artículo tiene fines exclusivamente informativos y no constituye asesoramiento legal. Para orientación específica sobre cumplimiento, consulta con asesoría jurídica cualificada.