La Comisión Europea adoptó el reglamento de aplicación relativo al sistema de certificación de ciberseguridad de la UE sobre criterios comunes (EUCC). El resultado se alinea con el esquema candidato de certificación de ciberseguridad en EUCC que ENISA redactó en respuesta a una solicitud emitida por la Comisión Europea.
En la redacción del esquema candidato, ENISA contó con el apoyo de un grupo de trabajo ad hoc (AHWG) compuesto por expertos del área de toda la industria y autoridades nacionales de certificación de ciberseguridad (NCCA) de los Estados miembros de la UE.
ENISA agradece la orientación y el apoyo de los Estados miembros a través del Grupo Europeo de Certificación de Ciberseguridad (ECCG) y las contribuciones del Grupo de Certificación de Ciberseguridad de las Partes Interesadas (SCCG).
Como primer esquema de certificación de ciberseguridad de la UE que se adopta, se espera que el EUCC allane el camino para los próximos esquemas que están actualmente en preparación. Si bien un acto de ejecución forma parte del “acervo comunitario”, la legislación de la UE, el marco de certificación de la ciberseguridad es voluntario. Con el tiempo, EUCC reemplazará los esquemas de certificación nacionales que anteriormente estaban bajo el acuerdo SOG-IS.
El director ejecutivo de la Agencia de Ciberseguridad de la UE, Juhan Lepassaar, subrayó que “la adopción del primer sistema de certificación de ciberseguridad marca un hito hacia un mercado único digital confiable de la UE y es una pieza del rompecabezas del marco de certificación de ciberseguridad de la UE que se encuentra actualmente en proceso de elaboración”.
¿Qué es la EUCC?
Según lo dispuesto en la Ley de Ciberseguridad de 2019 , el nuevo sistema se encuadra en el marco de certificación de ciberseguridad de la UE. El objetivo de este marco era elevar el nivel de ciberseguridad de los productos, servicios y procesos de TIC en el mercado de la UE. Para ello, establece un conjunto completo de normas, requisitos de normas técnicas, normas y procedimientos que se aplicarán en toda la Unión.
El nuevo esquema EUCC, de carácter voluntario, permite a los proveedores de TIC que deseen presentar pruebas de garantía pasar por un proceso de evaluación comúnmente entendido en la UE para certificar productos de TIC, como componentes tecnológicos (chips, tarjetas inteligentes), hardware y software.
El plan se basa en el marco de evaluación de Criterios Comunes SOG-IS, de eficacia probada, que ya se utiliza en 17 Estados miembros de la UE. Propone dos niveles de aseguramiento basados en el nivel de riesgo asociado al uso previsto del producto, servicio o proceso, en términos de probabilidad e impacto de un accidente.
Sobre la base de amplias investigaciones y consultas, el plan integral se ha adaptado a las necesidades de los Estados miembros de la UE. Por tanto, los mecanismos de certificación a escala de la Unión permiten a las empresas europeas competir a nivel nacional, de la Unión y mundial.
En otras palabras, se espera que los esquemas de certificación de la UE, como el EUCC, también sirvan de incentivo para que los proveedores cumplan con los requisitos de certificación de ciberseguridad. La EUCC entra en el vibrante mercado de las cibercertificaciones estudiadas en el nuevo informe publicado por ENISA siguiendo la evolución del número de metodologías y organismos de evaluación dedicados a productos y servicios TIC.
La UE permite certificaciones existentes durante la implementación del nuevo esquema de ciberseguridad
Junto con el grupo de trabajo Ad-hoc, ENISA compiló el esquema candidato con los requisitos de seguridad y los métodos de evaluación comúnmente aceptados, definidos y acordados.
ENISA transmitió el proyecto de plan a la Comisión Europea después de que el ECCG emitiera su dictamen. El acto de ejecución emitido por la Comisión Europea como resultado de ello fue adoptado posteriormente mediante el procedimiento pertinente conocido como procedimiento de comitología.
El acto adoptado prevé un período de transición durante el cual las organizaciones aún podrán beneficiarse de las certificaciones existentes en el marco de sistemas nacionales en determinados Estados miembros. Los organismos de evaluación de la conformidad (CAB) interesados en realizar evaluaciones según EUCC pueden ser acreditados y notificados. Los proveedores podrán convertir sus certificados SOG-IS existentes en certificados EUCC después de evaluar sus soluciones con respecto a los requisitos agregados o actualizados según lo especificado en el EUCC.
Los certificados emitidos bajo EUCC serán publicados por ENISA. ENISA también publica la Ley de Ejecución y los documentos de respaldo, como anexos, documentos de última generación y orientación, en el sitio web dedicado a la certificación. La Agencia de Ciberseguridad de la Unión Europea también propone material de apoyo, incluido un vídeo sobre los últimos avances del plan y en apoyo de su implementación.
Otros sistemas de certificación de ciberseguridad de la UE
ENISA está trabajando actualmente en dos esquemas de certificación de ciberseguridad más, EUCS sobre servicios en la nube y EU5G sobre seguridad 5G . La Agencia también ha llevado a cabo un estudio de viabilidad sobre los requisitos de certificación de ciberseguridad de la UE para la IA y está apoyando a la Comisión Europea y a los Estados miembros para establecer una estrategia de certificación para eIDAS/billetera. Más recientemente, la Comisión Europea propuso una enmienda a la Ley de Ciberseguridad que prevé un esquema para servicios de seguridad gestionados (MSSP).
Fuente y redacción: helpnetsecurity.com
