Tu socio estratégico en ensayos y certificación

Rellena nuestro formulario rápido

SOLICITE PRESUPUESTO

¿Qué es la certificación EUCC?

El esquema europeo de certificación de ciberseguridad basado en Common Criteria (EUCC) es el primer esquema de certificación establecido en el marco del Reglamento de Ciberseguridad de la Unión Europea y aplicado mediante el Reglamento de Ejecución (UE) 2024/482 de la Comisión.

EUCC define un marco armonizado para la evaluación y certificación de la ciberseguridad de productos TIC destinados al mercado interior de la Unión Europea, basado en los estándares internacionales Common Criteria (ISO/IEC 15408 e ISO/IEC 18045), y requiere una evaluación de la conformidad por una tercera parte independiente.

Applus+ Laboratories aporta más de 20 años de experiencia en evaluaciones Common Criteria y de ciberseguridad y puede actuar como:

  • ITSEF EUCC para los niveles de aseguramiento Sustancial y Alto
  • Organismo de Certificación EUCC (CAB) para el nivel Sustancial

Esto permite a los fabricantes demostrar un alto nivel de aseguramiento en ciberseguridad para el mercado de la UE y reforzar la confianza en la seguridad de sus productos.

EUCC y el Reglamento de Ciberresiliencia (CRA)

Aunque actualmente EUCC está definido como un esquema de certificación voluntario, las futuras obligaciones regulatorias derivadas del Reglamento de Ciberresiliencia (Cyber Resilience Act, CRA) pueden exigir la certificación EUCC o equivalente para determinadas categorías de productos con elementos digitales.

Además, el CRA introduce obligaciones obligatorias posteriores a la comercialización, como la notificación de vulnerabilidades e incidentes a partir de septiembre de 2026, y la aplicación completa de los requisitos desde diciembre de 2027.

La certificación EUCC puede desempeñar un papel clave en el apoyo al cumplimiento del CRA cuando se combina con otras medidas regulatorias adicionales. Consulta nuestro artículo específico sobre EUCC y CRA para más información.

Beneficios de la certificación EUCC

  • Confianza y credibilidad: la certificación EUCC demuestra el cumplimiento de los requisitos de ciberseguridad a nivel de la UE, incrementando la confianza de clientes y partes interesadas.
  • Preparación regulatoria: EUCC facilita el cumplimiento de la normativa europea de ciberseguridad vigente y futura, incluidas las obligaciones introducidas por el Reglamento de Ciberresiliencia.
  • Diferenciación en el mercado: los productos certificados destacan en mercados competitivos donde la garantía de ciberseguridad es cada vez más exigida por clientes y autoridades.
  • Reducción de riesgos a lo largo del ciclo de vida del producto: la evaluación y certificación ayudan a identificar y mitigar riesgos de seguridad, protegiendo tanto a proveedores como a usuarios finales frente a posibles ciberamenazas.

Alcance de la certificación EUCC: productos y niveles de aseguramiento

El esquema EUCC se aplica a una amplia gama de productos TIC o Perfiles de Protección destinados al mercado interior de la UE. Los productos se evalúan conforme a los niveles de aseguramiento Sustancial o Alto, definidos en el Reglamento de Ciberseguridad (CSA), utilizando requisitos de seguridad derivados de Common Criteria.

Las categorías de productos habituales incluyen:

  • Dispositivos de red (firewalls, puntos de acceso, balanceadores de carga, gateways)
  • Sistemas operativos y aplicaciones software (incluidos Linux, software móvil y embebido)
  • Dispositivos hardware de seguridad (terminales de pago, tacógrafos digitales, módulos hardware seguros)
  • Tarjetas inteligentes y elementos seguros (eID, documentos de viaje legibles por máquina, elementos seguros, plataformas JavaCard / MULTOS)

Cómo obtener la certificación EUCC

Para iniciar un proceso de evaluación EUCC, los fabricantes deben:

  1. Seleccionar el nivel de aseguramiento adecuado (Sustancial o Alto)
  2. Definir el Security Target, basado en un Perfil de Protección aplicable si existe
  3. Preparar la documentación técnica requerida conforme al artículo 7 del EUCC
  4. Establecer procedimientos de gestión de vulnerabilidades, divulgación y gestión de parches
  5. Definir acciones correctivas para las no conformidades
  6. Contratar un ITSEF y un Organismo de Certificación acreditados

Applus+ Laboratories acompaña a sus clientes durante todo el proceso de certificación EUCC.

Acreditación y autorización

Applus+ Laboratories es:

  • ITSEF EUCC acreditado para los niveles de aseguramiento Sustancial (AVA_VAN.1–2) y Alto (AVA_VAN.3 y superiores)
  • Autorizado por las Autoridades Nacionales de Certificación de Ciberseguridad (NCCA) de España y Países Bajos
  • Organismo de Certificación EUCC (CAB) acreditado y notificado para el nivel Sustancial

Nuestra amplia experiencia en Common Criteria y certificación europea de ciberseguridad nos permite ofrecer evaluaciones fiables, eficientes y preparadas para el futuro.

ENISA y el esquema de certificación EUCC

ENISA (la Agencia de la Unión Europea para la Ciberseguridad) desempeña un papel central en el marco de EUCC al apoyar el desarrollo, mantenimiento y la aplicación coherente de los esquemas europeos de certificación de ciberseguridad establecidos en virtud del Reglamento de Ciberseguridad de la UE.

En el marco del esquema EUCC, ENISA contribuye mediante guías técnicas, referencias de ciberseguridad del estado del arte y actividades de coordinación, ayudando a garantizar una implementación armonizada y sólida de EUCC en todos los Estados miembros.

Novedades de la certificación EUCC frente a Common Criteria

EUCC se basa en el marco consolidado de Common Criteria, manteniendo sus principios fundamentales de evaluación e incorporando requisitos adicionales alineados con la política europea de ciberseguridad y con las expectativas de seguridad a lo largo del ciclo de vida del producto.

En comparación con los esquemas tradicionales de Common Criteria, EUCC refuerza aspectos como la continuidad del aseguramiento, la gestión de vulnerabilidades, la transparencia y la aplicación de prácticas de ciberseguridad del estado del arte.

Gestión de parches en EUCC

En el marco del esquema EUCC, los mecanismos de gestión de parches pueden incluirse dentro del alcance de la evaluación para respaldar el principio de continuidad del aseguramiento.

Cuando están correctamente diseñados y evaluados, estos mecanismos permiten a los fabricantes desplegar actualizaciones de seguridad y correcciones de vulnerabilidades sin invalidar el certificado EUCC, siempre que se cumplan determinadas condiciones.

Gestión y divulgación de vulnerabilidades

Los productos certificados bajo EUCC deben estar respaldados por procesos sólidos de gestión y divulgación de vulnerabilidades que cubran todo el ciclo de vida del producto.

  • Definir y mantener procedimientos de gestión y divulgación de vulnerabilidades
  • Coordinar la divulgación responsable con usuarios e investigadores de seguridad
  • Comunicar la información de seguridad relevante a las partes interesadas
  • Dar soporte a las actividades de vigilancia de mercado que puedan afectar a la validez del certificado

Se recomienda encarecidamente seguir las Directrices EUCC sobre Gestión y Divulgación de Vulnerabilidades para garantizar el cumplimiento continuo y el mantenimiento del certificado.

Requisitos de información pública

La certificación EUCC exige que los fabricantes pongan a disposición del público determinada información para apoyar un despliegue seguro y transparente, incluyendo:

  • Guías para la configuración, instalación, operación y mantenimiento seguros
  • El periodo durante el cual se proporcionará soporte de seguridad
  • Datos de contacto del fabricante o proveedor
  • Procedimientos para la recepción de informes de vulnerabilidades
  • Referencias a repositorios públicos de vulnerabilidades divulgadas y avisos de seguridad

Estado del arte y referencias técnicas

El cumplimiento EUCC se evalúa conforme a las prácticas de ciberseguridad del estado del arte, tal y como se definen en:

  • Los anexos del Reglamento de Ejecución EUCC
  • La guía técnica de ENISA
  • La documentación técnica derivada de Common Criteria

Para los niveles de aseguramiento Alto, pueden aplicarse documentos adicionales de dominio técnico, que deben considerarse durante la evaluación.

Contacta con Applus+ Laboratories y da el primer paso hacia tu certificación EUCC.

/Laboratories/GLOBAL/Category-Services/1.TESTING-SERVICES/cybersecurity-evaluations/by-standards-schemes/eucc-certification

SOLICITE PRESUPUESTO

SERVICIOS RELACIONADOS A Certificación EUCC

Applus+ utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas o rechazar su uso. Para más información, consulta nuestra Política de Cookies. ​

Panel de configuración de cookies