La Comisión Europea desarrolla un nuevo sistema de certificación de la ciberseguridad basado en criterios comunes
19-02-2024 — AR/2024/014
Este sistema de certificación busca normalizar los existentes en los Estados miembros, para agilizar los mecanismos de certificación y servir de guía para otros esquemas referidos a la inteligencia artificial o a la identidad digital.
- Compartir
- Correo electrónico
La Comisión Europea ha promulgado, el 31-1-2024, el Reglamento de Ejecución 2024/482,1 que recoge disposiciones de aplicación del Reglamento (UE) 2019/881,2 conocido como reglamento de ciberseguridad, sobre la aprobación del esquema europeo de certificación de la ciberseguridad basado en los llamados «criterios comunes» (EUCC, en siglas inglesas).
Resumimos los aspectos principales de este reglamento de ejecución.
Objetivo y ámbito de aplicación
Base del sistema de certificación
El sistema europeo de certificación de la ciberseguridad se basa en esos criterios comunes y en el «Acuerdo de reconocimiento mutuo de los certificados de seguridad de las tecnologías de la información» que alcanzó el Grupo de Altos Funcionarios de Seguridad de los Sistemas de Información (también conocido como SOG-IS, en siglas inglesas).
Este acuerdo utiliza los criterios comunes y pretende sustituir los regímenes nacionales de certificación, en uso en 17 Estados miembros.
Este enfoque busca homogeneizar los esquemas nacionales de certificación, basándose en este acuerdo, para disponer de un mecanismo de certificación más rápido y efectivo, que permite a las empresas mejorar la competitividad.
Carácter del sistema de certificación
Este sistema de certificación:
- es de carácter voluntario,
- tiene como objetivo incentivar a los proveedores a cumplir con los requisitos de certificación de ciberseguridad,
- permite a los proveedores tecnológicos que deseen presentar pruebas de garantía pasar por un proceso de evaluación común en la Unión Europea para certificar productos y perfiles de protección, como:
- sistemas biométricos,
- cortafuegos (de hardware y de software),
- plataformas de detección y respuesta,
- enrutadores,
- conmutadores,
- software especializado (como los sistemas de detección de eventos e información de seguridad (conocidos como SIEM, de security information and event management) o los de prevención y detección de intrusiones (conocidos respectivamente como IPS, intrusion prevention system, e IDS, intrusion detection system),
- diodos de datos,
- sistemas operativos (incluidos los de dispositivos móviles),
- almacenamientos cifrados,
- bases de datos, o
- tarjetas inteligentes y otros elementos seguros.
Contenido
Este esquema de certificación ofrece dos niveles de garantía basados en el riesgo asociado y refleja la probabilidad e impacto de incidentes potenciales.
Los organismos de certificación (designados por las autoridades nacionales de certificación de la ciberseguridad) realizan un informe de certificación, que se publicará junto con el certificado EUCC, basándose en los informes técnicos de evaluación elaborados por entidades que operen en instalaciones de evaluación de la seguridad de las tecnologías de la información (ITSEF, en siglas inglesas).
Los certificados emitidos de acuerdo con este esquema europeo los publicará la Agencia de la Unión Europea para la Ciberseguridad (ENISA).
Implicaciones
Se espera que este primer esquema de certificación de ciberseguridad propio de la Unión allane el camino para otros esquemas en preparación.
También se prevé un período de transición en el que las organizaciones con certificaciones existentes en determinados Estados miembros puedan seguir beneficiándose de ellos.
Los proveedores podrán convertir sus certificados nacionales existentes en certificados con el nuevo esquema EUCC después de evaluar sus soluciones con respecto a los requisitos agregados o actualizados.
Los organismos de evaluación de la conformidad interesados en realizar evaluaciones según el nuevo esquema pueden acreditarse.
Esta certificación voluntaria complementará la ley de ciberresiliencia (Reglamento (UE) 2019/881) al introducir requisitos vinculantes de ciberseguridad para todos los productos de hardware y software en la Unión e impulsa la aplicación de la directiva NIS 2.3
Otros sistemas de certificación de ciberseguridad
ENISA está trabajando actualmente en dos esquemas de certificación de ciberseguridad más:
- EUCS, sobre servicios en la nube, y
- EU5G, sobre seguridad 5G.
También está desarrollando un estudio de viabilidad sobre los requisitos de certificación de ciberseguridad para la inteligencia artificial y para definir una estrategia de certificación para identidad digital (eIDAS).
Iniciativas relacionadas
Alertas Relacionadas
-
ENISA y el CERT-EU han elaborado conjuntamente una guía de buenas prácticas en ciberseguridad
16-02-2022—AR/2022/022 -
Un nuevo reglamento pretende lograr un nivel común de ciberseguridad en todas las entidades de la Unión Europea
09-01-2024—AR/2024/006 -
El Diario Oficial de la Unión Europea publica el reglamento DORA y la directiva NIS 2
27-12-2022—AR/2022/152