Dades clau
| Normativa | Correcció d'errors del Reglament (UE) 2019/881 — CELEX:32019R0881R(07) |
|---|---|
| Publicació | 11 de març de 2026 |
| Entrada en vigor | No especificada |
| Afectats | Empreses tecnològiques, fabricants de productes TIC i proveïdors de serveis digitals a la UE |
| Categoria | Normativa Europea |
| Reglament base | Reglament (UE) 2019/881 — Reglament de Ciberseguretat |
| Organisme competent | ENISA — Agència de la Unió Europea per a la Ciberseguretat |
Els fabricants de productes TIC i els proveïdors de serveis digitals que operen a Europa tenen una obligació creixent: obtenir certificacions de ciberseguretat reconegudes a tota la UE. El marc que ho regula és el Reglament (UE) 2019/881, conegut com a Reglament de Ciberseguretat, que estableix el mandat permanent d'ENISA i crea el sistema europeu de certificació de ciberseguretat.
La correcció d'errors publicada l'11 de març de 2026 (referència CELEX:32019R0881R(07)) introdueix ajustos de caràcter tècnic-jurídic que no alteren el fons normatiu. És a dir: les obligacions per a empreses tecnològiques, fabricants i proveïdors de serveis digitals es mantenen intactes. El que canvia són aspectes formals del text legal, no les exigències de certificació.
Què estableix aquesta normativa?
El Reglament (UE) 2019/881 té dos pilars fonamentals:
- Mandat permanent d'ENISA: L'Agència de la Unió Europea per a la Ciberseguretat rep un mandat estable i reforçat per a donar suport a empreses, Estats membres i institucions europees en matèria de ciberseguretat.
- Marc europeu de certificació de ciberseguretat: Es crea un sistema de certificacions vàlides a tota la UE per a productes i serveis TIC, eliminant la necessitat d'obtenir certificacions nacionals diferents en cada país membre.
ENISA desenvolupa els esquemes de certificació de forma progressiva. Cada esquema defineix els requisits, nivells de garantia i procediments d'avaluació aplicables a una categoria concreta de productes o serveis. Les empreses han d'estar atentes a quins esquemes estan ja actius i quins estan en desenvolupament per al seu sector.
| Element del Reglament | Descripció |
|---|---|
| Mandat d'ENISA | Permanent — reforça el paper de l'agència com a referència europea en ciberseguretat |
| Certificacions europees | Vàlides a tota la UE — substitueixen a múltiples certificacions nacionals |
| Productes afectats | Productes connectats, programari, serveis al núvol |
| Desenvolupament d'esquemes | Progressiu — ENISA publica els esquemes per categories de forma escalonada |
| Correcció 11/03/2026 | Tècnic-jurídica — no modifica obligacions de fons |
Impacte econòmic i operatiu
Per a les empreses TIC, l'impacte del Reglament de Ciberseguretat es tradueix en dues dimensions concretes:
Cost de certificació: Obtenir una certificació europea de ciberseguretat implica costos d'avaluació, auditoria i manteniment. Aquests costos varien segons el nivell de garantia exigit per cada esquema (bàsic, substancial o elevat) i el tipus de producte o servei. El Reglament no fixa imports concrets, ja que depenen de l'esquema aplicable i de l'organisme d'avaluació.
Oportunitat de mercat: La certificació europea elimina la fragmentació actual, en la qual una empresa havia d'obtenir certificacions diferents en cada Estat membre on operava. Això suposa un estalvi directe per a empreses que venen en diversos països de la UE i una avantatge competitiva enfront de competidors no certificats.
Impacte operatiu: Les empreses han d'integrar els requisits de ciberseguretat en els seus processos de desenvolupament de producte i prestació de serveis des de les fases inicials, no com una capa afegida al final. Això afecta a equips de desenvolupament, producte, legal i compliance.
A qui afecta?
- Fabricants de productes connectats (IoT): Dispositius amb connectivitat que es comercialitzen a la UE.
- Desenvolupadors de programari: Empreses que creen i distribueixen aplicacions, sistemes operatius o solucions de programari al mercat europeu.
- Proveïdors de serveis al núvol: Empreses que ofereixen infraestructura, plataforma o programari com a servei (IaaS, PaaS, SaaS) a clients a la UE.
- Proveïdors de serveis digitals: Qualsevol empresa que presti serveis digitals subjectes als esquemes de certificació que ENISA vagi aprovant.
- Empreses tecnològiques amb presència al mercat únic digital europeu: Independentment de la seva seu, si comercialitzen productes o serveis TIC a la UE queden dins de l'àmbit del Reglament.
Exemple pràctic
Una empresa espanyola que desenvolupa una plataforma SaaS de gestió empresarial i la comercialitza a Espanya, França i Alemanya actualment necessitaria, en teoria, complir amb els requisits de certificació de ciberseguretat de cadascun d'aquests tres mercats per separat.
Amb el marc del Reglament (UE) 2019/881, quan ENISA publiqui l'esquema de certificació aplicable a serveis al núvol, aquesta empresa podrà obtenir una única certificació europea reconeguda en els tres països simultàniament. Això elimina la duplicitat d'auditorias, redueix costos de manteniment de la certificació i simplifica la documentació de compliment davant clients i administracions de diferents Estats membres.
El pas immediat per a aquesta empresa és identificar quin esquema d'ENISA aplica al seu tipus de servei i en quina fase de desenvolupament es troba, per a planificar el procés de certificació amb suficient antelació.
Què han de fer les empreses ara?
- Identificar si els teus productes o serveis entren en l'àmbit del Reglament: Revisa si fabriques productes connectats, desenvolupes programari o prestes serveis al núvol dirigits al mercat europeu. Si és així, el Reglament (UE) 2019/881 t'aplica.
- Monitoritzar els esquemes de certificació que ENISA està desenvolupant: ENISA publica els esquemes de forma progressiva. Consulta el portal oficial d'ENISA per a identificar quins esquemes estan ja aprovats i quins estan en fase de desenvolupament per a la teva categoria de producte o servei.
- Avaluar el nivell de garantia requerit: Els esquemes de certificació contemplen diferents nivells (bàsic, substancial, elevat). El nivell exigit depèn del risc associat al producte o servei. Determina quin nivell aplica al teu cas per a dimensionar l'esforç i cost de certificació.
- Integrar els requisits de ciberseguretat en el cicle de desenvolupament: No esperes a tenir el producte acabat per a buscar la certificació. Incorpora els controls de seguretat des del disseny (security by design) per a reduir el cost i temps del procés d'avaluació.
- Designar un responsable intern de seguiment normatiu: Assigna a una persona o equip la tasca de seguir l'evolució dels esquemes ENISA i coordinar el procés de certificació quan sigui exigible.
- Revisar contractes amb clients i proveïdors: Si prestes serveis a altres empreses o administracions públiques a la UE, anticipa que els teus clients podran exigir la certificació europea com a requisit contractual o de licitació.
Preguntes freqüents
Quines empreses estan obligades a certificar-se sota el Reglament UE de Ciberseguretat?
Estan afectades les empreses tecnològiques que desenvolupen productes connectats, programari o serveis al núvol, així com fabricants de productes TIC i proveïdors de serveis digitals que operin a la UE. El Reglament (UE) 2019/881 és el marc de referència.
Què és ENISA i quin paper té en la certificació de ciberseguretat?
ENISA és l'Agència de la Unió Europea per a la Ciberseguretat. Té el mandat permanent de desenvolupar els esquemes de certificació de ciberseguretat europeus, donar suport a empreses i Estats membres, i actuar com a referència en matèria de ciberseguretat a la UE.