Cuando una empresa sufre un ciberataque, lo más probable es que quien acuda a contenerlo no sea su propio equipo de TI, sino un proveedor externo de servicios de seguridad. Un MSSP, en la jerga del sector: un Managed Security Service Provider. Estas empresas se han convertido en la columna vertebral de la ciberseguridad operativa en Europa, y sin embargo, hasta ahora, no existía un marco europeo común para certificar la calidad y fiabilidad de lo que hacen.
Eso está a punto de cambiar. La Unión Europea está desarrollando el esquema EUMSS (EU Managed Security Services), un sistema de certificación de ciberseguridad específico para servicios gestionados de seguridad. Y la semana que viene, en la Conferencia Europea de Certificación de Ciberseguridad que ENISA celebra en Chipre, el trabajo entra en una fase decisiva.
El origen: por qué hacía falta
La base legal del esquema es la enmienda al Reglamento de Ciberseguridad (Reglamento UE 2025/37), que entró en vigor el 4 de febrero de 2025 e introdujo un nuevo Artículo 51a, habilitando expresamente un esquema de certificación para este tipo de servicios. Sobre esa base, la Comisión Europea encargó formalmente a ENISA en abril de 2025 la preparación del esquema candidato.
El encargo responde a una combinación de factores que llevaban tiempo acumulándose. El primero es la creciente dependencia de proveedores especializados: organizaciones de todos los tamaños y sectores externalizan funciones de seguridad que no pueden asumir internamente, desde la respuesta a incidentes hasta la monitorización continua de sus sistemas. El segundo es la fragmentación regulatoria: varios Estados miembros habían empezado a desarrollar esquemas nacionales con enfoques y requisitos divergentes, lo que complicaba la operación transfronteriza de estos proveedores y la comparabilidad de sus servicios. Y el tercero, más inmediato, es la exigencia del Cyber Solidarity Act de que los proveedores que formen parte de la Reserva Europea de Ciberseguridad estén certificados en un plazo de dos años.
En otras palabras: Europa necesita poder confiar en quienes contrata para protegerse, y necesita un criterio común para hacerlo.
Cómo se estructura: una arquitectura de dos capas
El diseño del EUMSS sigue un modelo modular que busca ser a la vez riguroso y adaptable. La arquitectura se organiza en dos capas.
La primera es la capa horizontal (denominada HoLa en la documentación de trabajo), que recoge los requisitos de seguridad transversales aplicables a cualquier servicio gestionado, independientemente de su naturaleza. Gobernanza, políticas de seguridad, gestión de activos, seguridad del personal, cadena de suministro, continuidad de negocio, mejora continua: el conjunto de condiciones organizativas y operativas que todo MSSP debería cumplir como punto de partida.
La segunda es la capa vertical (VeLa), formada por perfiles de servicio específicos. Cada perfil contiene controles técnicos y operativos adaptados a un tipo concreto de servicio gestionado, organizados en tres fases siguiendo el marco ISO 20700:2017: diseño del servicio, ejecución y cierre.
El primer perfil vertical que se está desarrollando es el de Response Services, es decir, servicios de respuesta a incidentes de ciberseguridad. Cubre desde la confirmación y análisis del incidente hasta la contención, erradicación, coordinación con las partes afectadas y reporting. Futuros perfiles verticales abordarán detección y monitorización, investigación forense digital, y otros servicios.
Cada perfil puede certificarse de forma independiente en tres niveles de aseguramiento: básico, sustancial y alto. La diferencia entre niveles no reside solo en los requisitos exigidos, sino también en el rigor del proceso de evaluación.
La tensión con NIS2: un debate no resuelto
Uno de los debates más sustantivos del proceso es la relación entre el EUMSS y la Directiva NIS2. La Comisión Europea ha manifestado que no quiere que el esquema se alinee directamente con NIS2, pero esto no cierra la cuestión: NIS2 y su Reglamento de Implementación (2024/2690) ya imponen obligaciones sobre los MSSPs como entidades, incluyendo sanciones que pueden alcanzar el 2% de la facturación global y supervisión por parte de autoridades nacionales.
La diferencia de enfoque es significativa. NIS2 regula al proveedor como organización; el EUMSS certifica un servicio concreto, de forma voluntaria y sin sanciones legales directas. La pregunta que sigue abierta es cómo evitar la duplicación de controles, cómo articular la complementariedad entre ambos marcos, y qué hacer con las obligaciones que se solapan. España ha aportado una contribución formal proponiendo eliminar controles duplicados y centrar el EUMSS exclusivamente en los requisitos específicos del servicio, con un control de prerrequisito que valide el cumplimiento de NIS2 por parte del proveedor.
Es un debate que seguirá activo en las sesiones de trabajo de las próximas semanas.
España y CerteIDAS en el proceso
Paloma Llaneza, Digital Trust Scheme Manager en CerteIDAS, participa en este proceso como liaison de ESI (ETSI) en el grupo de trabajo ad hoc (AHWG) que ENISA constituyó en octubre de 2025 para desarrollar el esquema. El grupo, formado por expertos de la industria, organismos de normalización, organismos de evaluación de la conformidad y usuarios de servicios de seguridad gestionados, se encuentra en plena fase de redacción y revisión de los borradores.
La semana del 14 al 17 de abril concentra varios hitos: el 15, Llaneza participa en la Conferencia Europea de Certificación de Ciberseguridad de 2026; y entre el 16 y el 17, el AHWG celebra su segunda reunión plenaria presencial, con carácter editorial. Es en esta reunión donde se deben resolver decenas de cuestiones técnicas pendientes sobre los borradores del esquema principal, la capa horizontal y los controles de Response Services.
Por qué importa ahora
El desarrollo del EUMSS responde a una necesidad operativa concreta: que cuando un hospital, una administración pública o una infraestructura energética contrate servicios de ciberseguridad a un proveedor externo, exista una forma fiable y comparable de saber que ese proveedor cumple con unos estándares de calidad y seguridad evaluados de forma independiente. La alternativa, un mosaico de esquemas nacionales no interoperables o directamente la ausencia de evaluación, es lo que tenemos hoy.
El esquema está en construcción y aún debe superar varias fases antes de su adopción formal. Pero el trabajo que se realiza esta semana en Chipre marca un punto de inflexión: es la primera vez que el grupo de expertos se reúne presencialmente en 2026 con mandato editorial sobre los textos. Lo que salga de allí definirá en buena medida cómo se certifica la ciberseguridad como servicio en Europa.
