En una era donde la transformación digital es crucial, la ciberseguridad se ha convertido en una preocupación fundamental tanto para las empresas como para los gobiernos. El panorama de ciberseguridad en Europa está evolucionando rápidamente, impulsado por la necesidad de proteger la infraestructura digital y garantizar la seguridad y privacidad de los datos. Este post tiene como objetivo proporcionar una visión general de las principales regulaciones, leyes, directivas y normas emergentes que están moldeando la ciberseguridad en Europa.
Con las próximas normativas europeas en materia de ciberseguridad, la UE pretende establecer un marco eficiente y robusto para afrontar los desafíos futuros y proteger a la comunidad, especialmente a los consumidores de tecnologías emergentes. Vamos a aclarar y resumir los diferentes tipos de instrumentos legales disponibles a nivel europeo:

En cuanto a la ciberseguridad de productos, existen varias iniciativas presentes en el panorama europeo.
La Ley de Resiliencia Cibernética (CRA) es un reglamento de la Unión Europea que establece requisitos de ciberseguridad para productos con elementos digitales (PDE), incluyendo tanto hardware como software. Su objetivo es mejorar la ciberseguridad y la resiliencia de los productos digitales a lo largo de todo su ciclo de vida, desde el diseño y desarrollo hasta su comercialización, mantenimiento y gestión de vulnerabilidades.
La CRA fue adoptada formalmente como Reglamento (UE) 2024/2847, publicado en el Diario Oficial de la Unión Europea el 20 de noviembre de 2024, y entró en vigor el 10 de diciembre de 2024.
Los expertos consideran generalizadamente que la CRA supone un paso significativo en el refuerzo de la ciberseguridad en la UE. Se alinea con otras regulaciones europeas como la Directiva NIS2 y la Ley de Inteligencia Artificial, con el objetivo de crear un marco de ciberseguridad cohesionado en distintos sectores. No obstante, existen preocupaciones sobre los estrictos requisitos de notificación de la ley y los posibles solapamientos con normativas existentes, lo que podría imponer cargas adicionales a fabricantes e importadores. Algunos expertos abogan por una mayor claridad y flexibilidad en las obligaciones de notificación para evitar saturar a las pequeñas empresas y frenar la innovación.
La preocupación relativa a tener que superar múltiples certificaciones para un único producto a nivel global, lo que incrementaría el esfuerzo y los costes, es significativa. Por ello, la estandarización de la CRA es crucial. Desde la adopción de la CRA, la Comisión Europea ha avanzado significativamente en el desarrollo del marco de estandarización. En febrero de 2025 adoptó la Solicitud de Estandarización M/606, encargando formalmente a las Organizaciones Europeas de Normalización (CEN, CENELEC y ETSI) el desarrollo de un conjunto completo de normas armonizadas que apoyen la implementación de la CRA. La solicitud incluye 41 desarrollos de normalización, que cubren tanto estándares horizontales aplicables a distintas categorías de productos como estándares verticales específicos para productos importantes y críticos. Estas normas están destinadas a proporcionar a los fabricantes presunción de conformidad con los requisitos esenciales de ciberseguridad y gestión de vulnerabilidades de la CRA.
Más información sobre CRA y servicios relacionados de Applus+:
La Directiva de Equipos Radioeléctricos (2014/53/UE) establece un marco regulatorio para la comercialización de equipos radioeléctricos en la UE, abarcando aspectos como la seguridad, la salud, la compatibilidad electromagnética y el uso eficiente del espectro radioeléctrico. Su objetivo es crear un mercado único para estos equipos, garantizando que sean seguros y no interfieran con otros equipos electrónicos.
El Acto Delegado de la RED, en particular en relación con los artículos 3.3 (d), (e) y (f), introduce nuevos requisitos de ciberseguridad para dispositivos inalámbricos. Estos artículos cubren:
Sin embargo, el Reglamento Delegado de ciberseguridad RED se encuentra actualmente en una fase transitoria. Para evitar solapamientos con la CRA, la Comisión Europea ha adoptado un reglamento delegado que deroga el Reglamento Delegado (UE) 2022/30 con efectos a partir del 11 de diciembre de 2027, fecha en la que la CRA será plenamente aplicable.
Como resultado, los equipos radioeléctricos dentro del ámbito del Reglamento Delegado (UE) 2022/30 y comercializados entre el 1 de agosto de 2025 y el 10 de diciembre de 2027 deberán cumplir con los requisitos de ciberseguridad de la RED. A partir del 11 de diciembre de 2027, estos requisitos estarán cubiertos por la CRA.
Actualmente, dado que el acto delegado de la RED será obligatorio a partir del 1 de agosto de 2025, la norma EN18031 (partes 1, 2 y 3) ha sido recientemente aprobada como norma armonizada para el cumplimiento de la RED hasta el 11 de diciembre de 2027.
En cualquier caso, durante este periodo transitorio, las medidas de ciberseguridad propuestas siguen considerándose necesarias para proteger los datos de los consumidores y garantizar la integridad de las redes de comunicación. Existe una creencia generalizada de que las normas RED serán sustituidas por las normas de la CRA.
La ley introduce un marco de certificación de ciberseguridad a nivel de la UE para productos, servicios y procesos de tecnologías de la información y la comunicación (TIC). Este marco tiene como objetivo mejorar la confianza y la seguridad en el mercado digital, garantizando que los productos y servicios cumplan con estándares de seguridad coherentes y reconocidos.
Uno de los esquemas bajo la CSA es el reciente EUCC. El acto de ejecución del EUCC ya ha entrado en vigor, estableciendo las reglas para los actores del esquema. Otros esquemas en desarrollo incluyen EU5G y EUCS, este último previsto para el cuarto trimestre de 2024.
Otros esquemas que ya están en marcha incluyen las Carteras Europeas de Identidad Digital y los Servicios de Seguridad Gestionados, según el documento SWD (Staff Working Document) del Programa de trabajo continuo de la Unión para la certificación europea de ciberseguridad.
También se espera que el marco evolucione mediante la propuesta Cybersecurity Act 2 (CSA2). El 20 de enero de 2026, la Comisión Europea presentó una propuesta para revisar el Reglamento (UE) 2019/881. CSA2 tiene como objetivo simplificar y acelerar el desarrollo de esquemas de certificación europeos, reforzar el papel de ENISA y hacer que el marco de certificación sea más eficaz y fácil de utilizar. La propuesta incluye plazos vinculantes para que ENISA prepare esquemas tras una petición de la Comisión, tareas operativas ampliadas y medidas para alinear mejor la certificación con otra legislación de ciberseguridad de la UE. También introduce nuevos elementos relacionados con cadenas de suministro TIC de confianza y el posible uso de la certificación para apoyar el cumplimiento de otros requisitos legales. CSA2 es actualmente una propuesta legislativa y aún no ha sido adoptada.
El lanzamiento del esquema europeo de certificación basado en Common Criteria (EUCC) representa un hito importante, ya que es el primer esquema plenamente operativo adoptado bajo el marco de la CSA. El EUCC proporciona un enfoque europeo armonizado para la certificación de productos TIC y se espera que reduzca la dependencia de múltiples esquemas nacionales. Su adopción ha sido ampliamente bien recibida por la industria y las autoridades públicas como un paso clave hacia un ecosistema europeo de certificación más maduro.
No obstante, persisten retos en la implementación práctica. Las partes interesadas siguen supervisando el despliegue del EUCC, incluyendo los procesos de acreditación y autorización para organismos de certificación y organismos de evaluación de la seguridad (ITSEF), así como su interacción con los esquemas nacionales existentes. Además, el éxito a largo plazo dependerá de la adopción en el mercado, la interpretación consistente entre Estados miembros y la alineación con marcos internacionales.
De cara al futuro, varios esquemas adicionales se encuentran en desarrollo, como el EUCS (servicios cloud), EU5G, las carteras de identidad digital (EUDI Wallets) y el esquema de servicios de seguridad gestionados (EUMSS). Estas iniciativas ampliarán el alcance del marco europeo hacia sectores estratégicos clave.
El desarrollo de futuros esquemas, especialmente EU5G, presenta oportunidades y desafíos. Para maximizar la adopción y minimizar costes, se destaca la importancia de alinearse con estándares internacionales como GSMA o 3GPP. Una mayor interoperabilidad ayudaría a evitar duplicidades y mantener altos niveles de seguridad.
El debate sobre EUCS refleja desafíos más amplios entre ciberseguridad, mercado e independencia estratégica. Las discusiones sobre requisitos de soberanía generaron debate entre Estados miembros y la industria, evolucionando hacia enfoques centrados en transparencia, gestión del riesgo y requisitos de aseguramiento.
A nivel político, estos retos han contribuido a la propuesta de CSA2. Esta revisión busca agilizar el desarrollo de esquemas, introducir plazos vinculantes, reforzar ENISA y mejorar la agilidad del sistema. Se considera un paso clave para hacer la certificación europea más eficiente, escalable y alineada con el mercado.
La Ley de Inteligencia Artificial de la Unión Europea (AI Act), Reglamento (UE) 2024/1689, es el primer marco jurídico completo a nivel mundial diseñado específicamente para regular la inteligencia artificial. El reglamento establece normas armonizadas para el desarrollo, la comercialización, el despliegue y el uso de sistemas de IA en toda la UE, con el objetivo de garantizar que la IA sea fiable, segura, transparente y respete los derechos fundamentales.
La Ley de IA adopta un enfoque basado en el riesgo, clasificando los sistemas de IA en función de su impacto potencial en las personas y la sociedad. El marco distingue entre prácticas de IA prohibidas (riesgo inaceptable), sistemas de IA de alto riesgo sujetos a requisitos estrictos, sistemas de IA sujetos a obligaciones de transparencia y sistemas de riesgo bajo o mínimo, que permanecen en gran medida no regulados.
Aunque la Ley de IA se centra principalmente en la gobernanza de la IA y la protección de los derechos fundamentales, también contiene importantes disposiciones relacionadas con la ciberseguridad, especialmente para los sistemas de IA de alto riesgo. Estas incluyen requisitos para:
La Ley de IA entró en vigor el 1 de agosto de 2024 y se está implementando mediante un calendario escalonado.
Las disposiciones que prohíben sistemas de IA de riesgo inaceptable fueron aplicables desde el 2 de febrero de 2025, mientras que las obligaciones para modelos de IA de propósito general serán aplicables a partir de agosto de 2025. La mayoría de los requisitos para sistemas de IA de alto riesgo serán aplicables a partir del 2 de agosto de 2026, con ciertas obligaciones para productos regulados específicos aplicables desde agosto de 2027. Este enfoque progresivo pretende proporcionar a las organizaciones tiempo suficiente para adaptar sus procesos de gobernanza, cumplimiento, seguridad y gestión de riesgos, al mismo tiempo que fomenta la innovación y el despliegue responsable de la inteligencia artificial en la Unión Europea.
Algunos expertos, especialmente de startups y PYMES, han expresado preocupaciones sobre la posible carga regulatoria que puede suponer la Ley de IA. Argumentan que el aumento de los requisitos de cumplimiento podría situar a las empresas europeas en desventaja competitiva frente a sus homólogas estadounidenses y chinas, creando potencialmente barreras adicionales a la innovación y al crecimiento del mercado.
La atención se está desplazando ahora hacia la implementación y aplicación efectiva de la ley. Esto requerirá garantizar que la Oficina de IA disponga de los recursos adecuados y que la propuesta de Directiva de Responsabilidad en IA funcione de forma coherente y complementaria con la Ley de IA. No obstante, aún queda mucho trabajo por hacer, especialmente en el desarrollo de estándares armonizados y de orientación práctica necesarios para garantizar una aplicación coherente en toda la Unión Europea.
El Marco Europeo de Identidad Digital (eIDAS 2.0) es el marco regulador actualizado de la UE diseñado para proporcionar a ciudadanos, residentes y empresas soluciones de identidad digital seguras, interoperables y de confianza en toda la Unión Europea. Basándose en el reglamento eIDAS original adoptado en 2014, este marco revisado aborda sus limitaciones mediante la introducción de un enfoque más centrado en el usuario y más completo en la gestión de la identidad digital.
Los elementos clave del marco incluyen:
El reglamento eIDAS revisado entró en vigor en mayo de 2024. Desde entonces, los Estados miembros, la Comisión Europea y los actores del sector están trabajando en su implementación, incluyendo el desarrollo de estándares técnicos comunes, esquemas de certificación y proyectos piloto a gran escala. Se espera que las primeras carteras europeas de identidad digital estén disponibles progresivamente en los Estados miembros a partir de 2026.
ETSI ha anunciado recientemente la publicación del primer conjunto de estándares que dan soporte a la identidad digital europea.
Los expertos valoran positivamente el fuerte énfasis del marco en la seguridad, la privacidad y la interoperabilidad. Se espera que la arquitectura técnica armonizada y los estándares comunes faciliten transacciones digitales seguras transfronterizas y aumenten la confianza en los servicios de identidad digital en toda la UE. Más información
La introducción de la cartera europea de identidad digital se considera un hito importante para empoderar a los ciudadanos y organizaciones mediante credenciales digitales de confianza, acelerando potencialmente la adopción de servicios digitales tanto en el sector público como en el privado.
Sin embargo, persisten varios desafíos. La implementación de un marco tan amplio en todos los Estados miembros requiere una importante coordinación y alineación de los sistemas nacionales. Garantizar la interoperabilidad entre distintas infraestructuras técnicas, modelos de gobernanza y ecosistemas de confianza sigue siendo una tarea compleja.
Desde la perspectiva de la evaluación de la conformidad, se debe prestar especial atención a la certificación y evaluación de las carteras europeas de identidad digital y sus componentes asociados. Dada la naturaleza crítica de los servicios prestados y la sensibilidad de los datos personales que procesan, serán esenciales evaluaciones sólidas de ciberseguridad, verificaciones de privacidad y pruebas de cumplimiento para garantizar la confiabilidad y el cumplimiento normativo. El desarrollo de esquemas de certificación armonizados y metodologías de evaluación será, por tanto, un factor clave para el despliegue eficaz del Marco Europeo de Identidad Digital.
Sí, existen otras regulaciones como DORA y NIS2 que también se implementan e interactúan con el panorama del marco europeo de ciberseguridad.
Directiva NIS2: Establece obligaciones de gestión de riesgos de ciberseguridad y notificación de incidentes para entidades esenciales e importantes en una amplia variedad de sectores. La directiva refuerza la gobernanza de ciberseguridad y los requisitos de seguridad de la cadena de suministro, especialmente relevantes para proveedores de servicios de identidad digital y servicios de confianza.
Reglamento de Resiliencia Operativa Digital (DORA): Aplica específicamente al sector financiero e introduce requisitos detallados para la gestión del riesgo TIC, notificación de incidentes, gestión de riesgos de terceros y pruebas avanzadas de penetración basadas en amenazas. Las entidades financieras que utilicen soluciones de identidad digital deben garantizar el cumplimiento tanto de DORA como de los requisitos relacionados con eIDAS.
Pero, ¿qué ocurre con las regulaciones de ciberseguridad en el resto del mundo? Existen múltiples marcos, leyes, directrices y normativas en diferentes países.
Aquí se incluyen algunas de las regulaciones relevantes en materia de ciberseguridad en China:
Aquí se incluyen algunas de las regulaciones relevantes en materia de ciberseguridad en Estados Unidos:
Los expertos consideran generalmente que los marcos regulatorios de la UE establecen un alto nivel en gobernanza digital, garantizando que las tecnologías se desarrollen y utilicen de forma responsable. Sin embargo, la interacción con regulaciones de EE. UU. y China pone de manifiesto los desafíos derivados de enfoques diferentes.
Las regulaciones europeas, al ser más completas y estrictas, pueden generar mayores costes de cumplimiento y un posible impacto en la innovación, mientras que el enfoque más flexible de EE. UU. y el modelo más centralizado de China presentan ventajas e inconvenientes diferentes. La clave está en encontrar un equilibrio que impulse la innovación garantizando al mismo tiempo seguridad, privacidad y criterios éticos.
En Applus+ Laboratories, estamos para ayudarte a guiarte y acompañarte en el proceso de certificación, verificando que tu producto cumple con los requisitos normativos.
Applus+ utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas o rechazar su uso. Para más información, consulta nuestra Política de Cookies.
Permiten el funcionamiento de la web, cargar contenido multimedia y proteger su seguridad. Consulta las cookies que almacenamos en nuestra Política de cookies.
Nos permiten conocer cómo interactúas con la web, el número de visitas en las diferentes secciones y establecer estadísticas para mejorar nuestras prácticas comerciales. Consulta las cookies que almacenamos en nuestra Política de cookies.
A través de tu comportamiento en la web (dónde haces click, el tiempo que navegas, etc.) establecemos parámetros y un perfil para que visualices anuncios que se correspondan con tus intereses. Consulta las cookies que almacenamos en nuestra Política de cookies.