Datos clave
| Normativa | Corrección de errores del Reglamento (UE) 2019/881 — CELEX:32019R0881R(07) |
|---|---|
| Publicación | 11 de marzo de 2026 |
| Entrada en vigor | No especificada |
| Afectados | Empresas tecnológicas, fabricantes de productos TIC y proveedores de servicios digitales en la UE |
| Categoría | Normativa Europea |
| Reglamento base | Reglamento (UE) 2019/881 — Reglamento de Ciberseguridad |
| Organismo competente | ENISA — Agencia de la Unión Europea para la Ciberseguridad |
Los fabricantes de productos TIC y los proveedores de servicios digitales que operan en Europa tienen una obligación creciente: obtener certificaciones de ciberseguridad reconocidas en toda la UE. El marco que lo regula es el Reglamento (UE) 2019/881, conocido como Reglamento de Ciberseguridad, que establece el mandato permanente de ENISA y crea el sistema europeo de certificación de ciberseguridad.
La corrección de errores publicada el 11 de marzo de 2026 (referencia CELEX:32019R0881R(07)) introduce ajustes de carácter técnico-jurídico que no alteran el fondo normativo. Es decir: las obligaciones para empresas tecnológicas, fabricantes y proveedores de servicios digitales se mantienen intactas. Lo que cambia son aspectos formales del texto legal, no las exigencias de certificación.
¿Qué establece esta normativa?
El Reglamento (UE) 2019/881 tiene dos pilares fundamentales:
- Mandato permanente de ENISA: La Agencia de la Unión Europea para la Ciberseguridad recibe un mandato estable y reforzado para apoyar a empresas, Estados miembros e instituciones europeas en materia de ciberseguridad.
- Marco europeo de certificación de ciberseguridad: Se crea un sistema de certificaciones válidas en toda la UE para productos y servicios TIC, eliminando la necesidad de obtener certificaciones nacionales distintas en cada país miembro.
ENISA desarrolla los esquemas de certificación de forma progresiva. Cada esquema define los requisitos, niveles de garantía y procedimientos de evaluación aplicables a una categoría concreta de productos o servicios. Las empresas deben estar atentas a qué esquemas están ya activos y cuáles están en desarrollo para su sector.
| Elemento del Reglamento | Descripción |
|---|---|
| Mandato de ENISA | Permanente — refuerza el papel de la agencia como referencia europea en ciberseguridad |
| Certificaciones europeas | Válidas en toda la UE — sustituyen a múltiples certificaciones nacionales |
| Productos afectados | Productos conectados, software, servicios en la nube |
| Desarrollo de esquemas | Progresivo — ENISA publica los esquemas por categorías de forma escalonada |
| Corrección 11/03/2026 | Técnico-jurídica — no modifica obligaciones de fondo |
Impacto económico y operativo
Para las empresas TIC, el impacto del Reglamento de Ciberseguridad se traduce en dos dimensiones concretas:
Coste de certificación: Obtener una certificación europea de ciberseguridad implica costes de evaluación, auditoría y mantenimiento. Estos costes varían según el nivel de garantía exigido por cada esquema (básico, sustancial o elevado) y el tipo de producto o servicio. El Reglamento no fija importes concretos, ya que dependen del esquema aplicable y del organismo de evaluación.
Oportunidad de mercado: La certificación europea elimina la fragmentación actual, en la que una empresa debía obtener certificaciones distintas en cada Estado miembro donde operaba. Esto supone un ahorro directo para empresas que venden en varios países de la UE y una ventaja competitiva frente a competidores no certificados.
Impacto operativo: Las empresas deben integrar los requisitos de ciberseguridad en sus procesos de desarrollo de producto y prestación de servicios desde las fases iniciales, no como una capa añadida al final. Esto afecta a equipos de desarrollo, producto, legal y compliance.
¿A quién afecta?
- Fabricantes de productos conectados (IoT): Dispositivos con conectividad que se comercializan en la UE.
- Desarrolladores de software: Empresas que crean y distribuyen aplicaciones, sistemas operativos o soluciones de software en el mercado europeo.
- Proveedores de servicios en la nube: Empresas que ofrecen infraestructura, plataforma o software como servicio (IaaS, PaaS, SaaS) a clientes en la UE.
- Proveedores de servicios digitales: Cualquier empresa que preste servicios digitales sujetos a los esquemas de certificación que ENISA vaya aprobando.
- Empresas tecnológicas con presencia en el mercado único digital europeo: Independientemente de su sede, si comercializan productos o servicios TIC en la UE quedan dentro del ámbito del Reglamento.
Ejemplo práctico
Una empresa española que desarrolla una plataforma SaaS de gestión empresarial y la comercializa en España, Francia y Alemania actualmente necesitaría, en teoría, cumplir con los requisitos de certificación de ciberseguridad de cada uno de esos tres mercados por separado.
Con el marco del Reglamento (UE) 2019/881, cuando ENISA publique el esquema de certificación aplicable a servicios en la nube, esta empresa podrá obtener una única certificación europea reconocida en los tres países simultáneamente. Esto elimina la duplicidad de auditorías, reduce costes de mantenimiento de la certificación y simplifica la documentación de cumplimiento ante clientes y administraciones de distintos Estados miembros.
El paso inmediato para esta empresa es identificar qué esquema de ENISA aplica a su tipo de servicio y en qué fase de desarrollo se encuentra, para planificar el proceso de certificación con suficiente antelación.
¿Qué deben hacer las empresas ahora?
- Identificar si tus productos o servicios entran en el ámbito del Reglamento: Revisa si fabricas productos conectados, desarrollas software o prestas servicios en la nube dirigidos al mercado europeo. Si es así, el Reglamento (UE) 2019/881 te aplica.
- Monitorizar los esquemas de certificación que ENISA está desarrollando: ENISA publica los esquemas de forma progresiva. Consulta el portal oficial de ENISA para identificar qué esquemas están ya aprobados y cuáles están en fase de desarrollo para tu categoría de producto o servicio.
- Evaluar el nivel de garantía requerido: Los esquemas de certificación contemplan distintos niveles (básico, sustancial, elevado). El nivel exigido depende del riesgo asociado al producto o servicio. Determina qué nivel aplica a tu caso para dimensionar el esfuerzo y coste de certificación.
- Integrar los requisitos de ciberseguridad en el ciclo de desarrollo: No esperes a tener el producto terminado para buscar la certificación. Incorpora los controles de seguridad desde el diseño (security by design) para reducir el coste y tiempo del proceso de evaluación.
- Designar un responsable interno de seguimiento normativo: Asigna a una persona o equipo la tarea de seguir la evolución de los esquemas ENISA y coordinar el proceso de certificación cuando sea exigible.
- Revisar contratos con clientes y proveedores: Si prestas servicios a otras empresas o administraciones públicas en la UE, anticipa que tus clientes podrán exigir la certificación europea como requisito contractual o de licitación.
Preguntas frecuentes
¿Qué empresas están obligadas a certificarse bajo el Reglamento UE de Ciberseguridad?
Están afectadas las empresas tecnológicas que desarrollan productos conectados, software o servicios en la nube, así como fabricantes de productos TIC y proveedores de servicios digitales que operen en la UE. El Reglamento (UE) 2019/881 es el marco de referencia.
¿Qué es ENISA y qué papel tiene en la certificación de ciberseguridad?
ENISA es la Agencia de la Unión Europea para la Cib