El Reglamento sobre la Ciberseguridad establece un marco para la creación de esquemas europeos de certificación de la ciberseguridad, a efectos de garantizar un nivel adecuado de ciberseguridad de los productos, servicios y procesos de las tecnologías de la información y la comunicación (TIC) en la Unión, así como de evitar la fragmentación del mercado interior respecto a los esquemas de certificación de la ciberseguridad en la Unión.
El Reglamento UE 2025/37 del Parlamento Europeo y del Consejo, de 19 de diciembre de 2024, por el que se modifica el Reglamento (UE) 2019/881 en lo que se refiere a los servicios de seguridad gestionados establece requisitos esenciales para los servicios de seguridad gestionados, así como la aplicación y fiabilidad de dichos servicios.
La definición de servicios de seguridad gestionados incluye una lista no exhaustiva de servicios de seguridad gestionados que podrían acogerse a esquemas europeos de certificación de la ciberseguridad, como la respuesta a incidentes, las pruebas de penetración, las auditorías de seguridad y la consultoría, relacionada con la asistencia técnica. Los servicios de seguridad gestionados podrían abarcar servicios de ciberseguridad que ayudan en la preparación, la prevención, la detección, el análisis, la atenuación de los efectos, la respuesta y la recuperación de incidentes. El suministro de información sobre ciberamenazas y la evaluación de riesgos relacionados con la asistencia técnica también podrían considerarse servicios de seguridad gestionados. Pueden existir diferentes esquemas europeos de certificación de la ciberseguridad para diferentes servicios de seguridad gestionados. Los certificados europeos de ciberseguridad expedidos de conformidad con dichos esquemas deben referirse a servicios de seguridad gestionados específicos de un proveedor específico de tales servicios.