En el ámbito tecnológico y de contratación pública, la ciberseguridad se ha convertido en un requisito indispensable. Cada vez más licitaciones públicas exigen que los productos y servicios cumplan con certificaciones oficiales que garanticen la protección de datos y la integridad de los sistemas. Este artículo explica cuáles son esas certificaciones, qué ha cambiado en Europa y cómo afecta a empresas y proveedores.
Fin de Common Criteria en Europa
Durante años, Common Criteria (ISO/IEC 15408) fue el estándar internacional para certificar la seguridad de productos tecnológicos. Esta certificación permitía demostrar que un sistema había sido evaluado bajo criterios rigurosos de seguridad, lo que generaba confianza en administraciones públicas y clientes.
Sin embargo, desde marzo de 2025, los laboratorios europeos ya no pueden emitir certificados Common Criteria, y los emitidos fuera de la UE no son válidos en Europa.
Esto significa que, si una licitación pública exige Common Criteria, ese requisito está obsoleto e imposible de cumplir. Las empresas deben adaptarse rápidamente para no quedar fuera de procesos de contratación.
EUCC: el nuevo esquema europeo
Para sustituir Common Criteria, la UE creó el EUCC (European Cybersecurity Certification Scheme on Common Criteria), gestionado por ENISA. Entró en vigor el 27 de febrero de 2025 y trae mejoras importantes:
- Reconocimiento europeo: una certificación válida en todos los Estados miembros.
- Niveles de aseguramiento: Substantial y High, adaptados a diferentes riesgos.
- Seguridad continua: obligación de monitorizar vulnerabilidades y mantener la protección durante todo el ciclo de vida del producto.
Este esquema será la referencia para las licitaciones públicas europeas en los próximos años, ofreciendo un marco más robusto y adaptado a la realidad digital.
El reto actual
Aunque EUCC ya está activo, todavía no hay certificados emitidos porque los laboratorios y organismos de certificación están en proceso de acreditación. Esto genera una fase de transición en la que las administraciones públicas deben buscar alternativas para garantizar la seguridad sin frenar proyectos tecnológicos.
¿Qué hacer mientras tanto?
En España, la solución más práctica y legalmente sólida es apoyarse en el Esquema Nacional de Seguridad (ENS), que certifica la protección de datos y sistemas críticos y está alineado con la Directiva europea NIS2.
Por eso, en muchas licitaciones públicas se acepta:
- Certificación ENS, que acredita el cumplimiento de medidas de seguridad exigidas por la normativa española.
- Declaración Responsable del fabricante, explicando cómo asegura la integridad y seguridad de los datos.
Cumplir con ENS no solo es legalmente válido, sino que posiciona a las empresas para adaptarse al futuro esquema EUCC.
¿Por qué importa para tu empresa?
Si participas en licitaciones públicas o vendes soluciones tecnológicas, debes saber:
- Los requisitos de Common Criteria ya no son viables.
- El futuro es EUCC, pero hoy el ENS es la opción más segura en España.
- Las empresas que cumplen ENS están mejor preparadas para la transición y para ganar contratos públicos.
Invertir en certificaciones no es solo cumplir con la ley: es una ventaja competitiva que demuestra compromiso con la seguridad.
En Citisend, la seguridad es prioridad
En Citisend, aplicamos el ENS en nuestras soluciones, garantizando protección de datos y cumplimiento normativo europeo. Para nosotros, la seguridad no es opcional: es parte de nuestra propuesta de valor.
Si buscas una plataforma que cumpla con los estándares más exigentes y te ayude a superar los requisitos de las licitaciones públicas, Citisend es tu aliado.