El Reglamento de Ciberresiliencia ofrece a los fabricantes tres rutas hacia la presunción de conformidad con los requisitos del Anexo I. Dos pasan por normas. La tercera puede discurrir por la certificación una vez que la Comisión reconozca un esquema europeo de certificación de la ciberseguridad utilizable. Esta página explica esa ruta, el lugar que ocupa el esquema EUCC (esquema europeo de certificación de la ciberseguridad basado en los Common Criteria) como esquema vigente y qué está y qué no está todavía en vigor.
Resumen
- La certificación puede ser la tercera ruta del CRA hacia la presunción de conformidad. Se sitúa junto a las normas armonizadas y las especificaciones comunes.
- La ruta discurre por un esquema europeo de certificación de la ciberseguridad adoptado en virtud del Reglamento (UE) 2019/881. EUCC es el esquema vigente.
- Un certificado solo contaría en la medida en que cubra los requisitos. Daría presunción de conformidad para los requisitos del Anexo I que el certificado abarque, no automáticamente para todos ellos.
- Un certificado con nivel «sustancial» suprimiría la evaluación por terceros para los requisitos cubiertos, pero solo una vez que el acto delegado que activa la ruta esté en vigor.
- Importa sobre todo para los productos críticos del Anexo IV, donde la Comisión puede hacer obligatorio un certificado.
- Todavía no está activada. A 15 de junio de 2026, ningún acto reconoce esquemas utilizables ni hace obligatorio un certificado. EUCC no sustituye todavía a la ruta de conformidad del CRA ni suprime la evaluación por terceros.
Qué es un certificado EUCC y sus niveles de garantía
EUCC es el esquema europeo de certificación de la ciberseguridad basado en los Common Criteria. ENISA lo preparó y la Comisión lo adoptó como Reglamento de Ejecución (UE) 2024/482 de la Comisión, de 31 de enero de 2024. Es aplicable desde el 27 de febrero de 2025. Es el primer esquema adoptado en virtud del Reglamento (UE) 2019/881. Se basa en Common Criteria, el estándar internacional de larga tradición para evaluar la seguridad de los productos de TI, publicado como ISO/IEC 15408.
El esquema ya está en funcionamiento. Los organismos de certificación han expedido certificados EUCC desde abril de 2025, y el registro oficial de certificados de ENISA recogía 37 de ellos a 15 de junio de 2026. Ninguno lleva todavía presunción de conformidad con el CRA: demuestran que el esquema funciona, no que un certificado ya cumpla el CRA.
Gran parte de los certificados expedidos hasta ahora corresponden a chips seguros, tarjetas inteligentes y hardware similar, que coincide con las categorías críticas con mayor peso de hardware del CRA. No todos: también se certifican productos de red y software, y esos encajan en el ámbito general del CRA, no en su lista de productos críticos.
EUCC expide certificados en dos niveles de garantía, «sustancial» y «alto». Los dos se diferencian en la profundidad con que se analiza el producto. EUCC lo mide en la escala de evaluación de vulnerabilidades de Common Criteria, denominada AVA_VAN, que va de 1 a 5. Cuanto mayor es el número, más exhaustiva es la prueba independiente de cómo el producto resiste los ataques.
| Nivel EUCC | AVA_VAN | Profundidad de las pruebas | Efecto en el CRA |
|---|---|---|---|
| sustancialel menor de los dos | AVA_VAN 1 a 2de 5 | Pruebas de vulnerabilidad independientes con una profundidad estándar. | Cumpliría el umbral de exención. |
| altoel mayor de los dos | AVA_VAN 3 a 5de 5 | Un análisis más profundo, evaluado frente a atacantes con capacidades y recursos significativos. | Superaría el umbral. |
El CRA vincula su exención de la evaluación por terceros al nivel «sustancial» o superior, por lo que ambos niveles de EUCC cumplirían los requisitos una vez que dicha exención esté en vigor.
La certificación puede ser la tercera ruta del CRA hacia la presunción de conformidad
La presunción de conformidad es un atajo reconocido. Si cumples una de las rutas, la autoridad presume que tu producto satisface los requisitos que esa ruta cubre. El Reglamento de Ciberresiliencia ofrece tres rutas posibles, y la certificación es la tercera una vez que se reconoce para su uso con el CRA.
Las tres rutas y el estado actual de cada una:
| Ruta | En qué se basa | Estado actual en el CRA |
|---|---|---|
| Normas armonizadas | una norma cuya referencia se publica en el Diario Oficial | ninguna norma publicada |
| Especificaciones comunes | actos de ejecución de la Comisión | ninguno adoptado |
| Esquema de certificación | una declaración UE de conformidad o un certificado en el marco de un esquema reconocido | ningún esquema reconocido para uso con el CRA |
Las dos primeras discurren por normas, y el seguimiento de normas armonizadas las sigue en detalle. La tercera discurre por la certificación. Una vez que esa ruta sea operativa, un producto que tenga una declaración UE de conformidad o un certificado en el marco de un esquema europeo de certificación de la ciberseguridad podrá presumirse conforme. Esa presunción alcanza solo los requisitos cubiertos por la declaración o el certificado, no el Anexo I en su totalidad. El esquema ha de ser uno adoptado en virtud del Reglamento (UE) 2019/881.
Cómo se obtiene la certificación EUCC
EUCC no es una autodeclaración. Un fabricante o proveedor trabaja con un organismo de certificación y la evaluación la lleva a cabo un laboratorio acreditado. Es también una inversión material: una evaluación completa a través de un organismo de certificación suele alcanzar cifras de seis dígitos, lo que explica en parte por qué la mayoría de los equipos la acometen después de tener la evidencia del Anexo I. Para el nivel de garantía «alto», EUCC añade requisitos de autorización para el organismo de certificación y el laboratorio.
Parte de la evidencia que construyes para el CRA coincide con lo que necesita una evaluación: una evaluación de riesgos, procedimientos de gestión de vulnerabilidades y documentación técnica. EUCC pide más además de eso, entre ellos un objetivo de seguridad (el documento que especifica exactamente qué producto, configuración y funciones de seguridad se evalúan), más la evidencia de diseño detallado y pruebas que Common Criteria exige para el nivel de garantía elegido.
Un certificado EUCC no es una validación puntual. El organismo de certificación fija su vigencia en hasta cinco años. Mientras está en vigor, el titular tiene obligaciones continuadas:
- Gestión de vulnerabilidades: ejecutar procedimientos de gestión y divulgación de vulnerabilidades.
- Análisis de impacto: evaluar el impacto de las nuevas vulnerabilidades a medida que surgen.
- Continuidad de la garantía: mantener la garantía del producto al día mediante parches y reevaluaciones.
Gran parte de eso coincide con las obligaciones de gestión de vulnerabilidades del CRA.
Ese proceso es independiente de la ruta del CRA. Puede generar evidencias útiles, pero no produce efectos jurídicos en el CRA hasta que la Comisión reconoce el esquema.
Cómo encajan EUCC y el CRA
El CRA y EUCC son instrumentos de naturaleza distinta y es fácil confundirlos. El CRA es un reglamento vinculante: la ley que un producto debe cumplir. EUCC es un esquema de certificación voluntario: una forma de demostrar que un producto cumple parte de él.
| Reglamento de Ciberresiliencia | EUCC | |
|---|---|---|
| Naturaleza | reglamento UE vinculante | esquema de certificación voluntario |
| Base jurídica | Reglamento (UE) 2024/2847 | Reglamento (UE) 2019/881, esquema en el Reglamento (UE) 2024/482 |
| Se aplica a | todos los productos con elementos digitales en el mercado UE | productos de TIC evaluados con arreglo a Common Criteria |
| Clasificación por riesgo | por defecto, importante, crítico | niveles de garantía «sustancial» y «alto» |
| Cumplimiento | obligatorio, con sanciones | voluntario, salvo que el CRA lo haga obligatorio para una categoría crítica |
La coincidencia entre ambos es significativa. EUCC examina las funciones de seguridad de un producto y la forma en que su fabricante gestiona las vulnerabilidades. Gran parte de eso se alinea con los requisitos esenciales del CRA. ENISA ha publicado un estudio de correspondencia EUCC-CRA para comprobar en qué medida la certificación EUCC puede respaldar la conformidad con el CRA. Ese trabajo es infraestructura técnica, no efecto jurídico automático.
Qué eximiría un certificado con nivel «sustancial»
Hay una pieza más del ordenamiento jurídico que daría peso real a un certificado bajo el CRA, y todavía no está en vigor. Una vez que la Comisión actúe, haría dos cosas:
- Reconoce los esquemas: mediante acto delegado, la Comisión especifica qué esquemas de certificación pueden demostrar la conformidad. Mientras ese acto no nombre un esquema, ninguno está reconocido formalmente a efectos de la conformidad con el CRA.
- Suprime la evaluación por terceros: un certificado con nivel de garantía al menos «sustancial» eximiría al fabricante de la obligación de someter a evaluación de conformidad por terceros los requisitos que ese certificado cubra. Esa exención corresponde a las rutas Módulo B+C y Módulo H que, de otro modo, ejecutaría un organismo notificado.
La guía de evaluación de conformidad explica esos módulos.
Productos críticos: cuándo puede ser obligatoria la certificación
Para la mayoría de los productos, la certificación es opcional. Para las categorías críticas, puede volverse obligatoria.
La Comisión puede exigir que esos productos dispongan de un certificado europeo de ciberseguridad con nivel de garantía al menos «sustancial». Debe hacerlo mediante acto delegado, y solo una vez que se haya adoptado y esté disponible para los fabricantes un esquema que cubra esa categoría. Las categorías críticas del Anexo IV son:
- Dispositivos de equipos informáticos con cajas de seguridad
- Pasarelas de contadores inteligentes y otros dispositivos con fines de seguridad avanzada, incluido el procesamiento seguro de criptoactivos
- Tarjetas inteligentes o dispositivos similares que incluyan elementos seguros
EUCC es el esquema vigente más relevante para esa lista, orientada al hardware.
Hasta que la Comisión adopte dicho acto, esos productos no están obligados a certificarse. Siguen los procedimientos estándar de evaluación de conformidad, las mismas rutas de terceros que usan otros productos regulados. La guía de clasificación de productos muestra en qué categoría cae un producto.
Estado actual: la certificación todavía no está activada para el CRA
Estado, a 15 de junio de 2026: la ruta de certificación existe en el CRA, pero todavía no es operativa. La Comisión no ha adoptado el acto delegado que reconocería los esquemas capaces de demostrar la conformidad con el CRA, ni uno que haga obligatorio un certificado para ninguna categoría del Anexo IV. Un certificado EUCC es, por tanto, una preparación valiosa, no un atajo actual en el CRA. Todavía no suprime ninguna evaluación por terceros.
No hay ningún plazo para activar esta ruta. El Reglamento permite a la Comisión actuar, pero no le impone ninguna fecha, y no hay ningún acto adoptado. Las propias obligaciones del Reglamento de Ciberresiliencia se aplican desde el 11 de diciembre de 2027 con independencia de si la ruta está activa, y si un futuro acto hace obligatoria la certificación para una categoría crítica, deberá conceder al menos seis meses de transición primero.
La Comisión ha adoptado otros actos del CRA mientras tanto, lo que explica que el vacío sea fácil de malinterpretar:
| Acto | Fecha | Qué hace | ¿Afecta a la certificación? |
|---|---|---|---|
| Reglamento Delegado (UE) 2025/1535 de la Comisión | 29 de julio de 2025 | excluye ciertos vehículos del Reglamento (UE) n.º 168/2013 del ámbito del CRA | no |
| Reglamento de Ejecución (UE) 2025/2392 de la Comisión | 28 de noviembre de 2025 | establece las descripciones técnicas de las categorías de productos importantes y críticos | no |
| Reglamento Delegado (UE) 2026/881 de la Comisión | 11 de diciembre de 2025, publicado el 20 de abril de 2026 | fija las condiciones para retrasar la divulgación de ciertas notificaciones de vulnerabilidades e incidentes | no |
ENISA ha realizado el trabajo preparatorio. Su informe sobre la implantación del Reglamento de Ciberresiliencia mediante EUCC y sus elementos técnicos aplicables expone cómo EUCC podría satisfacer los requisitos del CRA. Describe también la correspondencia técnica que sería necesaria. Es una propuesta y un conjunto de herramientas, no un interruptor. El efecto jurídico sigue pendiente del acto delegado que la Comisión no ha adoptado.
Nuestra valoración: ¿perseguir EUCC ahora o esperar?
Las secciones anteriores reflejan la posición regulatoria. Los dos recuadros siguientes recogen nuestra lectura como profesionales. Son una opinión, no asesoramiento jurídico, ni una declaración sobre lo que exige el Reglamento.
Un certificado EUCC no es hoy la ruta más rápida hacia el CRA. El acto delegado que le daría efecto en el CRA no está adoptado. Para la mayoría de los fabricantes, el trabajo de mayor valor es la evidencia del Anexo I que toda ruta necesita de todos modos: una evaluación de riesgos, un SBOM, la gestión de vulnerabilidades y la documentación técnica. La certificación puede venir encima de eso más adelante. Hay tres casos que cambian el cálculo: estás en una categoría crítica que probablemente vaya a quedar sujeta a un futuro mandato, ya tienes o estás tramitando certificados Common Criteria, o tus compradores lo solicitan. En esos casos, empezar ahora es razonable.
La exención que todos quieren depende de un acto delegado que la Comisión no ha adoptado. La leemos como no disponible hasta que ese acto llegue, porque el ordenamiento jurídico vincula la exención a él. Si alguien te dice que un certificado EUCC ya suprime la evaluación del CRA, está pasando por alto esa condición, y no planificaríamos una ruta de conformidad sobre esa base. De las tres rutas, pensamos que la certificación es la pieza de infraestructura más concreta en construcción, y el puente EUCC es lo que hay que seguir: en la conferencia europea de certificación en ciberseguridad de 2026 la Comisión señaló que tiene como objetivo especificar cómo el EUCC apoya la conformidad con el CRA antes de finales de 2026. Trátalo como un objetivo, no como un compromiso: no hay ningún acto adoptado, y la fecha puede cambiar.
Preguntas frecuentes
¿Un certificado EUCC ya da presunción de conformidad con el CRA?
Hoy no, con EUCC. La ruta de certificación existe en el CRA, pero la Comisión todavía tiene que especificar qué esquemas cuentan a efectos de la conformidad con el CRA. Ese acto no está adoptado. Un certificado EUCC puede ser una preparación sólida, pero todavía no sustituye a la ruta de conformidad del CRA.
¿Cuál es la diferencia entre el CRA y EUCC?
El CRA es un reglamento UE vinculante que se aplica a todo producto con elementos digitales. EUCC es un esquema de certificación voluntario basado en Common Criteria. Tienes que cumplir el CRA; obtener un certificado EUCC es una elección. Los dos se conectan porque un certificado puede servir como una ruta para demostrar la conformidad con el CRA. Eso solo funciona para los requisitos que cubre, y solo una vez que el esquema esté reconocido formalmente. Eso no ha ocurrido todavía.
¿Es obligatoria la certificación EUCC bajo el CRA?
Por ahora no. La certificación es opcional para la mayoría de los productos. Para las categorías críticas del Anexo IV, la Comisión puede hacer obligatorio un certificado mediante acto delegado. Solo puede hacerlo cuando se haya adoptado y esté disponible un esquema que cubra esa categoría. Todavía no existe ningún acto de ese tipo, por lo que ningún producto está obligado a certificarse. Esos productos siguen las rutas estándar de evaluación por terceros hasta que eso cambie.
¿Qué nivel de garantía necesita el CRA?
Para la futura exención, al menos «sustancial». EUCC expide certificados en los niveles «sustancial» y «alto», por lo que un certificado «alto» también cumpliría los requisitos. La propia exención sigue dependiendo de que el acto delegado esté en vigor, lo que no ocurre todavía.
¿En qué se diferencia la ruta de certificación de las normas armonizadas?
Son dos rutas hacia la misma presunción. Una norma armonizada funciona una vez que su referencia se publica en el Diario Oficial. Para un producto importante de clase I, una norma publicada puede desbloquear la autoevaluación. Un certificado funciona una vez que se reconoce un esquema. Con nivel «sustancial», eximiría de la evaluación por terceros para los requisitos que cubra. Hoy ninguna de las dos es plenamente operativa para el CRA: no hay ninguna norma armonizada publicada ni ningún esquema de certificación reconocido.
¿Cubre un certificado EUCC los requisitos de gestión de vulnerabilidades de la Parte II del Anexo I?
Depende del alcance del certificado, y no se puede dar por supuesto que sí. La presunción alcanza solo los requisitos que el certificado cubre efectivamente. El Anexo I tiene dos partes: propiedades de seguridad del producto y requisitos del proceso de gestión de vulnerabilidades. Un certificado con alcance en las propiedades del producto puede no abordar las obligaciones de proceso continuo. Comprueba los requisitos cubiertos antes de apoyarte en él.
Si obtengo un certificado EUCC ahora, ¿contará para el CRA una vez que la ruta esté activada?
No automáticamente. El acto que reconocería los esquemas a efectos de la conformidad con el CRA no está adoptado, y el ordenamiento jurídico prevé condiciones adicionales para los certificados emitidos antes de que la ruta se active. Un certificado que tengas ahora es una preparación sólida y una evidencia para los requisitos que cubre, pero si llevará presunción CRA más adelante, y para qué requisitos, dependerá de ese acto y del alcance de tu certificado. Trátalo como una ventaja de partida, no como un atajo garantizado.
¿Se han expedido certificados EUCC y dónde puedo verlos?
Sí. Los organismos de certificación han expedido certificados EUCC desde abril de 2025, y ENISA publica la lista oficial con filtros. Demuestran que el esquema está en marcha, pero todavía no llevan presunción de conformidad con el CRA: eso sigue pendiente del acto delegado.