YubiKey para el sector público: normativas de seguridad en Europa
En 2026 ya no es suficiente con tener una política de contraseñas. Las normativas europeas de ciberseguridad exigen autenticación multifactor en accesos a sistemas críticos — y en varios países, la llave física FIDO2 es la opción que mejor encaja técnicamente con lo que piden los marcos regulatorios. Esta guía está dirigida a responsables IT de organismos públicos y proveedores TIC que necesitan entender qué exige cada normativa y cómo cumplirla.
El marco común: NIS2 y la obligación de MFA
La Directiva NIS2 es el punto de partida para todos los países de la UE. Entró en vigor a nivel europeo en enero de 2023 y establece autenticación multifactor como requisito técnico obligatorio para todos los accesos a sistemas críticos — correo corporativo, VPN, paneles de administración y cualquier sistema con datos sensibles.
España arrastra retraso en la transposición. El anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad se aprobó en enero de 2025 y la ley definitiva se espera a lo largo de 2026. Pero el retraso legislativo no exime de cumplimiento: la Comisión Europea inició procedimiento de infracción contra España en mayo de 2025, y las inspecciones ya están en marcha.
Si tu empresa forma parte de la cadena de suministro de una entidad esencial — energía, sanidad, transporte, banca — la NIS2 exige que esa entidad audite a sus proveedores. El cumplimiento no es opcional aunque seas una pyme.
Normativas por país
El ENS es el marco de referencia para todas las administraciones públicas españolas y sus proveedores. Define tres categorías de seguridad — Básica, Media y Alta — con exigencias crecientes según la criticidad del sistema.
En febrero de 2026, la YubiKey 5 CCN se convirtió en la primera llave de seguridad hardware en obtener la clasificación ENS Alta en el catálogo CPSTIC del Centro Criptológico Nacional. Esto tiene una consecuencia práctica directa: las organizaciones españolas pueden adquirir YubiKeys sin necesidad de las exhaustivas auditorías de seguimiento que requieren los productos no incluidos en el catálogo.
Categoría Media y Alta: autenticación de doble factor obligatoria para accesos privilegiados. FIDO2 cumple con los requisitos técnicos del ENS y la YubiKey 5 CCN está certificada específicamente para entornos de clasificación Alta.
Además, el CCN ha declarado públicamente que el cumplimiento del ENS en categoría Alta cubre en gran parte las exigencias estructurales de la NIS2 — lo que convierte la certificación ENS en una vía directa de cumplimiento doble.
El BSI (Bundesamt für Sicherheit in der Informationstechnik) es la autoridad federal de seguridad informática en Alemania. Su marco IT-Grundschutz define las medidas técnicas mínimas para organismos públicos y operadores de infraestructuras críticas.
El BSI clasifica los tokens FIDO2 hardware como el método de segundo factor con mayor resistencia a ataques remotos — incluyendo phishing en tiempo real y ataques de tipo man-in-the-middle. La clave privada se verifica localmente en el chip, lo que hace imposible cualquier ataque remoto sobre el segundo factor.
Para entornos de alta seguridad, el BSI recomienda llaves con certificación Common Criteria. La YubiKey 5 serie incluye modelos con certificación FIDO Level 2, lo que la posiciona como opción válida para los niveles de protección más exigentes del IT-Grundschutz.
El RGS es el marco de referencia para la seguridad de los sistemas de información del Estado francés, gestionado por la ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information). Define niveles de seguridad para servicios en línea de la administración pública.
La ANSSI ha posicionado FIDO2 como el estándar de autenticación recomendado para reemplazar los sistemas basados en OTP y contraseñas en entornos gubernamentales. Para servicios clasificados en nivel RGS**, la autenticación hardware con llave física es la opción técnicamente más alineada con los requisitos del referencial.
Francia también lidera la adopción de NIS2 en la UE — la transposición francesa (Loi de Programmation Militaire) ya está en vigor, y la ANSSI actúa como autoridad competente para la supervisión de entidades esenciales e importantes.
Cyber Essentials es el esquema de certificación de ciberseguridad respaldado por el NCSC (National Cyber Security Centre) del gobierno británico. La versión 3.3, en vigor desde el 27 de abril de 2026, introduce el cambio más significativo en años: MFA deja de ser recomendable y pasa a ser obligatorio.
Las implicaciones concretas para las organizaciones que quieran certificarse:
- MFA obligatorio en todas las cuentas de administración — sin excepciones desde el 27 de abril de 2026
- MFA obligatorio en todos los servicios cloud que lo soporten — si el servicio ofrece MFA y no está activado, la certificación falla automáticamente
- Métodos aceptados: llaves hardware FIDO2, apps de autenticación, notificaciones push — SMS es aceptado pero considerado el método más débil
- Contratos con el sector público UK: desde febrero de 2025, los proveedores de contratos gubernamentales de alto riesgo deben demostrar controles de autenticación avanzada
Para cuentas de administración y accesos privilegiados, el NCSC recomienda explícitamente llaves hardware sobre cualquier otro método. La YubiKey con FIDO2 es la opción que elimina la dependencia de secretos compartidos y bloquea el 100% de los ataques de phishing automatizados.
Comparativa por marco normativo
| Marco | País | MFA obligatorio | FIDO2 recomendado | Estado 2026 |
|---|---|---|---|---|
| ENS Alta | 🇪🇸 España | ✅ Categoría Media y Alta | ✅ YubiKey 5 CCN certificada | Activo — transposición NIS2 pendiente |
| BSI IT-Grundschutz | 🇩🇪 Alemania | ✅ Infraestructuras críticas | ✅ Máxima resistencia a ataques remotos | Activo — NIS2 transpuesta |
| RGS / ANSSI | 🇫🇷 Francia | ✅ Nivel RGS** | ✅ Estándar recomendado por ANSSI | Activo — NIS2 transpuesta |
| Cyber Essentials v3.3 | 🇬🇧 Reino Unido | ✅ Obligatorio desde 27/04/2026 | ✅ Recomendado por NCSC para admins | Activo — plazo cumplido |
Por qué FIDO2 hardware y no una app de autenticación
Las apps de autenticación generan códigos de un solo uso basados en una clave compartida entre el servidor y el dispositivo. Esa clave compartida es el problema: puede ser interceptada, filtrada o phisheada en tiempo real. Es el esquema que todos los marcos regulatorios están abandonando progresivamente.
Una llave FIDO2 funciona de forma radicalmente distinta. Usa criptografía de clave pública: la clave privada nunca sale del chip. No hay código que interceptar, no hay secreto compartido que robar. Y la llave verifica el dominio del servicio — si la web es falsa, no autentica. Eso es lo que hace que FIDO2 sea resistente al phishing por diseño, no por configuración.
- Identificar qué sistemas requieren MFA según la categoría ENS/BSI/RGS/Cyber Essentials aplicable
- Evaluar si los sistemas actuales soportan FIDO2 / WebAuthn — Google Workspace, Microsoft 365, Okta, Azure AD lo soportan de forma nativa
- Registrar siempre dos llaves por usuario — una principal y una de backup
- Documentar el despliegue para auditorías: número de llaves, usuarios asignados, sistemas protegidos
- Para España: valorar la YubiKey 5 CCN si el sistema requiere certificación ENS Alta
Productos recomendados para entornos regulados
⭐ Más versátil
YubiKey 5 NFC
FIDO2, OTP, PIV, OpenPGP. Compatible con Google Workspace, Microsoft 365 y la mayoría de IAM empresariales. USB-A + NFC.
USB-C + NFC
YubiKey 5C NFC
Los mismos protocolos que el modelo USB-A pero con conector USB-C. Para portátiles y dispositivos modernos.
Preguntas frecuentes
¿La YubiKey estándar cumple con el ENS o hace falta la versión CCN?
Para la mayoría de casos de uso empresarial, la YubiKey 5 NFC estándar cumple con los requisitos técnicos de autenticación fuerte del ENS. La versión CCN es específica para organismos que necesitan productos listados en el catálogo CPSTIC del CCN — principalmente administraciones públicas y proveedores de sistemas clasificados como ENS Alta.
¿NIS2 obliga a usar llave física o vale una app de autenticación?
La NIS2 exige autenticación multifactor para accesos a sistemas críticos pero no especifica el método concreto. Sin embargo, los marcos técnicos de referencia — ENS, BSI, ANSSI — señalan FIDO2 hardware como la opción con mayor resistencia a phishing. Para accesos privilegiados, la llave física es la recomendación estándar de las autoridades de ciberseguridad europeas.
¿Cuántas YubiKeys necesita un organismo público?
La regla general es dos llaves por usuario con acceso privilegiado — una principal y una de backup registrada en todos los sistemas. Sin la segunda llave, un usuario bloqueado no puede recuperar el acceso sin intervención del administrador. Para despliegues grandes, YubiKey as a Service de Yubico incluye gestión centralizada y numeración de serie para control de inventario.
¿Cyber Essentials v3.3 obliga a todos los empleados o solo a administradores?
La versión 3.3 hace obligatorio el MFA específicamente para todas las cuentas de administración y para el acceso a cualquier servicio cloud que soporte MFA. Para usuarios estándar, el MFA no es obligatorio para obtener la certificación — aunque el NCSC lo recomienda para todos.
¿Un proveedor TIC privado necesita cumplir con estas normativas?
Depende de la cadena de suministro. Si prestas servicios a un organismo público o a una entidad esencial NIS2 (energía, sanidad, banca, transporte), tu cliente está obligado a auditar la seguridad de sus proveedores. En la práctica, cada vez más pliegos técnicos incluyen requisitos de autenticación fuerte como criterio de solvencia. Y en UK, los proveedores de contratos gubernamentales de alto riesgo deben demostrar controles avanzados desde febrero de 2025.
Las normativas convergen en el mismo punto: FIDO2 hardware es el estándar.
ENS, BSI, RGS y Cyber Essentials parten de marcos distintos pero llegan al mismo sitio: autenticación fuerte resistente al phishing para accesos privilegiados. La YubiKey cumple con todos ellos técnicamente, y en España cuenta además con la certificación ENS Alta en el catálogo CPSTIC — lo que simplifica el proceso de adquisición en el sector público.
Si gestionas la seguridad de un organismo público o eres proveedor TIC de entidades reguladas, 2026 no es el año de evaluar si implementar MFA. Es el año de documentar que ya lo tienes.
