Primer sistema de certificación de ciberseguridad a escala de la UE
- TECNOLOGÍAS
La Comisión adoptó ayer el primer sistema europeo de certificación de ciberseguridad, en consonancia con la Ley de Ciberseguridad de la UE. El sistema ofrece un conjunto de normas y procedimientos a escala de la Unión sobre cómo certificar productos de TIC en su ciclo de vida y así hacerlos más confiables para los usuarios.
La certificación proporciona un reconocimiento formal de que se puede confiar en que los productos TIC protegerán tanto el hardware como el software que los ciudadanos utilizan a diario.
La Comisión Europea adoptó el reglamento de aplicación relativo al sistema de certificación de ciberseguridad de la UE sobre criterios comunes (EUCC). El resultado está totalmente en línea con el esquema candidato de certificación de ciberseguridad en EUCC que ENISA redactó en respuesta a una solicitud emitida por la Comisión Europea. En la redacción del esquema candidato, ENISA contó con el apoyo de un grupo de trabajo ad hoc (AHWG) compuesto por expertos del área de toda la industria y autoridades nacionales de certificación de ciberseguridad (NCCA) de los Estados miembros de la UE.
Como primer esquema de certificación de ciberseguridad de la UE que se adopta, se espera que el EUCC allane el camino para los próximos esquemas que están actualmente en preparación. Si bien un acto de ejecución forma parte del “acervo comunitario”, la legislación de la UE, el marco de certificación de la ciberseguridad es voluntario. Con el tiempo, EUCC reemplazará los esquemas de certificación nacionales que anteriormente estaban bajo el acuerdo SOG-IS.
El plan voluntario complementará la Ley de Resiliencia Cibernética que introduce requisitos vinculantes de ciberseguridad para todos los productos de hardware y software en la UE. Este importante paso contribuye a fomentar el liderazgo digital global de Europa. Además, el plan también impulsará la implementación de la Directiva NIS2.
El plan se publicará en breve en el Diario Oficial de la UE y entrará en vigor 20 días después de su publicación. Junto con la publicación del sistema de certificación en el Diario Oficial, la Comisión también publicará el primer programa de trabajo continuo de la Unión para la certificación europea de ciberseguridad. Este documento establece una visión estratégica y reflexiones sobre posibles áreas para futuros esquemas europeos de certificación de ciberseguridad considerando los recientes desarrollos legislativos y de mercado.
¿Qué es la EUCC?
Según lo dispuesto en la Ley de Ciberseguridad de 2019, el nuevo sistema se encuadra en el marco de certificación de ciberseguridad de la UE. El objetivo de este marco era elevar el nivel de ciberseguridad de los productos, servicios y procesos de TIC en el mercado de la UE. Para ello, establece un conjunto completo de normas, requisitos de normas técnicas, normas y procedimientos que se aplicarán en toda la Unión.
El nuevo esquema EUCC, de carácter voluntario, permite a los proveedores de TIC que deseen presentar pruebas de garantía pasar por un proceso de evaluación comúnmente entendido en la UE para certificar productos de TIC, como componentes tecnológicos (chips, tarjetas inteligentes), hardware y software.
El plan se basa en el marco de evaluación de Criterios Comunes SOG-IS, de eficacia probada, que ya se utiliza en 17 Estados miembros de la UE. Propone dos niveles de aseguramiento basados ??en el nivel de riesgo asociado al uso previsto del producto, servicio o proceso, en términos de probabilidad e impacto de un accidente.
Sobre la base de amplias investigaciones y consultas, el plan integral se ha adaptado a las necesidades de los Estados miembros de la UE. Por tanto, los mecanismos de certificación a escala de la Unión permiten a las empresas europeas competir a nivel nacional, de la Unión y mundial.
En otras palabras, se espera que los esquemas de certificación de la UE, como el EUCC, también sirvan de incentivo para que los proveedores cumplan con los requisitos de certificación de ciberseguridad. La EUCC entra en el vibrante mercado de las cibercertificaciones estudiadas en el nuevo informe publicado por ENISA siguiendo la evolución del número de metodologías y organismos de evaluación dedicados a productos y servicios TIC.
Proceso de adopción y próximos pasos
Junto con el grupo de trabajo ad hoc, ENISA compiló el esquema candidato con los requisitos de seguridad y los métodos de evaluación comúnmente aceptados, definidos y acordados.
ENISA transmitió el proyecto de plan a la Comisión Europea después de que el ECCG emitiera su dictamen. El acto de ejecución emitido por la Comisión Europea como resultado de ello fue adoptado posteriormente mediante el procedimiento pertinente conocido como procedimiento de comitología.
El acto adoptado prevé un período de transición durante el cual las organizaciones aún podrán beneficiarse de las certificaciones existentes en el marco de sistemas nacionales en determinados Estados miembros. Los organismos de evaluación de la conformidad (CAB) interesados ??en realizar evaluaciones según EUCC pueden ser acreditados y notificados. Los proveedores podrán convertir sus certificados SOG-IS existentes en certificados EUCC después de evaluar sus soluciones con respecto a los requisitos agregados o actualizados según lo especificado en el EUCC.
Los certificados emitidos bajo EUCC serán publicados por ENISA. ENISA también publica la Ley de Ejecución y los documentos de respaldo, como anexos, documentos de última generación y orientación, en el sitio web dedicado a la certificación. La Agencia de Ciberseguridad de la Unión Europea también propone material de apoyo, incluido un vídeo sobre los últimos avances del plan y en apoyo de su implementación.
Otros sistemas de certificación de ciberseguridad de la UE
ENISA está trabajando actualmente en dos esquemas de certificación de ciberseguridad más, EUCS sobre servicios en la nube y EU5G sobre seguridad 5G. La Agencia también ha emprendido un estudio de viabilidad sobre los requisitos de certificación de ciberseguridad de la UE para la IA y está apoyando a la Comisión Europea y a los Estados miembros para establecer una estrategia de certificación para eIDAS/billetera. Más recientemente, la Comisión Europea propuso una enmienda a la Ley de Ciberseguridad que prevé un esquema para servicios de seguridad gestionados (MSSP).
