El sello Cybersecurity Made in Europe empieza a mencionarse con más frecuencia dentro del ecosistema europeo de ciberseguridad, pero sigue habiendo dudas sobre qué es exactamente, qué beneficios aporta y cómo solicitarlo.
Detrás de esta iniciativa está ECSO, la Organización Europea de Ciberseguridad que agrupa a gran parte del ecosistema europeo y que actúa como interlocutor con las instituciones de la Unión. En 2020 lanzó el sello con un objetivo muy concreto: dotar al mercado europeo de una herramienta propia para identificar y promocionar empresas de ciberseguridad con base en Europa, alineadas con los valores, la regulación y el entorno jurídico europeo.
Se trata de una etiqueta de reconocimiento que identifica empresas de ciberseguridad que operan bajo el marco europeo. Su función principal es señalar el origen geográfico y regulatorio de la empresa, no evaluar la calidad técnica de sus productos o servicios.
No se debe confundir con una certificación y no requiere de una auditoría técnica para su obtención. Lo que sí se valida, a través de un proceso gestionado por emisores cualificados, es que la empresa cumple una serie de condiciones relacionadas con su ubicación, su estructura de control y su alineación con normativa europea, especialmente en materia de protección de datos y seguridad.
El objetivo es fundamentalmente estratégico. Por un lado, busca aumentar la visibilidad de las empresas europeas dentro y fuera de la Unión. Por otro, facilitar su identificación en un contexto donde la soberanía digital y la dependencia tecnológica están en el centro del debate.
También busca reforzar la confianza en proveedores que operan bajo legislación europea, especialmente en ámbitos como protección de datos. En paralelo, contribuye a estructurar el mercado europeo, que sigue siendo fragmentado frente a grandes actores internacionales, y a la autonomía estratégica europea en ciberseguridad.
Para obtener el sello, las empresas deben cumplir una serie de criterios definidos por ECSO y exigentes desde el punto de vista estructural.
- La sede central debe estar en Europa, o en caso de pertenecer a un grupo, el grupo debe estar registrado en Europa. Además, la empresa no puede estar controlada mayoritariamente desde fuera de Europa de forma que comprometa su autonomía.
- Europa debe ser también el principal lugar de actividad. Esto implica que más del 50% de sus actividades en ciberseguridad y/o de su plantilla estén ubicadas en territorio europeo.
- A esto se suma la obligación de declarar cumplimiento con requisitos básicos de seguridad definidos por ENISA y con la normativa europea de protección de datos, especialmente el GDPR.
- La empresa presenta una solicitud a través de un emisor cualificado autorizado por ECSO.
- La solicitud incluye documentación básica sobre la empresa, su estructura de propiedad, su actividad en Europa y declaraciones de cumplimiento normativo.
- Una vez validada la elegibilidad de la documentación, se concede el sello por un periodo limitado, normalmente de 12 meses.
El coste de obtención
del sello no está estandarizado a nivel europeo y depende del emisor que
gestione la solicitud.
Su principal valor está en el posicionamiento. Por un lado, permite a las empresas demostrar su alineación con el entorno europeo, lo que puede resultar relevante en determinados mercados y contextos regulatorios.
Por otro lado, mejora la visibilidad dentro del ecosistema europeo y refuerza el posicionamiento de la empresa en iniciativas y entornos donde el origen europeo es un factor relevante.
El hecho de que se base en autodeclaraciones de la empresa solicitante y no en auditorías técnicas limita su capacidad como garantía real.
Además, su reconocimiento todavía es desigual. En algunos entornos europeos empieza a tener visibilidad, pero fuera de ese ámbito su impacto es limitado.
Otro punto relevante es que no diferencia entre niveles de madurez. Una startup y una empresa consolidada pueden tener el mismo sello sin que eso refleje capacidades reales equivalentes.
El sello debe entenderse como lo que es: una herramienta de mercado dentro de una estrategia más amplia.
En un contexto marcado por la regulación europea, el origen y la gobernanza de la tecnología están ganando peso, y estas iniciativas pueden ayudar a ordenar el mercado. Pero no sustituyen lo importante. Las empresas que quieran competir, especialmente a nivel internacional, necesitan demostrar capacidades técnicas, experiencia real y casos de uso sólidos. El sello puede reforzar ese mensaje, nunca reemplazarlo.
Cybasque, socio de CyberLur, actúa como uno de los emisores cualificados autorizados dentro del esquema Cybersecurity Made in Europe. Esto permite a las empresas interesadas iniciar el proceso de solicitud a través de un agente cercano, con conocimiento del ecosistema y capacidad para acompañar en la preparación de la documentación requerida.