La Comisión Europea desarrolla un nuevo sistema de certificación de la ciberseguridad basado en criterios comunes

19-02-2024 — AR/2024/014

Este sistema de certificación busca normalizar los existentes en los Estados miembros, para agilizar los mecanismos de certificación y servir de guía para otros esquemas referidos a la inteligencia artificial o a la identidad digital.

 

La Comisión Europea ha promulgado, el 31-1-2024, el Reglamento de Ejecución 2024/482,1 que recoge disposiciones de aplicación del Reglamento (UE) 2019/881,2 conocido como reglamento de ciberseguridad, sobre la aprobación del esquema europeo de certificación de la ciberseguridad basado en los llamados «criterios comunes» (EUCC, en siglas inglesas).

Resumimos los aspectos principales de este reglamento de ejecución.

Objetivo y ámbito de aplicación

Base del sistema de certificación

El sistema europeo de certificación de la ciberseguridad se basa en esos criterios comunes y en el «Acuerdo de reconocimiento mutuo de los certificados de seguridad de las tecnologías de la información» que alcanzó el Grupo de Altos Funcionarios de Seguridad de los Sistemas de Información (también conocido como SOG-IS, en siglas inglesas).

Este acuerdo utiliza los criterios comunes y pretende sustituir los regímenes nacionales de certificación, en uso en 17 Estados miembros.

Este enfoque busca homogeneizar los esquemas nacionales de certificación, basándose en este acuerdo, para disponer de un mecanismo de certificación más rápido y efectivo, que permite a las empresas mejorar la competitividad.

Carácter del sistema de certificación

Este sistema de certificación:

  • es de carácter voluntario,
  • tiene como objetivo incentivar a los proveedores a cumplir con los requisitos de certificación de ciberseguridad,
  • permite a los proveedores tecnológicos que deseen presentar pruebas de garantía pasar por un proceso de evaluación común en la Unión Europea para certificar productos y perfiles de protección, como:
    • sistemas biométricos,
    • cortafuegos (de hardware y de software),
    • plataformas de detección y respuesta,
    • enrutadores,
    • conmutadores,
    • software especializado (como los sistemas de detección de eventos e información de seguridad (conocidos como SIEM, de security information and event management) o los de prevención y detección de intrusiones (conocidos respectivamente como IPS, intrusion prevention system, e IDS, intrusion detection system),
    • diodos de datos,
    • sistemas operativos (incluidos los de dispositivos móviles),
    • almacenamientos cifrados,
    • bases de datos, o
    • tarjetas inteligentes y otros elementos seguros.

Contenido

Este esquema de certificación ofrece dos niveles de garantía basados en el riesgo asociado y refleja la probabilidad e impacto de incidentes potenciales.

Los organismos de certificación (designados por las autoridades nacionales de certificación de la ciberseguridad) realizan un informe de certificación, que se publicará junto con el certificado EUCC, basándose en los informes técnicos de evaluación elaborados por entidades que operen en instalaciones de evaluación de la seguridad de las tecnologías de la información (ITSEF, en siglas inglesas).

Los certificados emitidos de acuerdo con este esquema europeo los publicará la Agencia de la Unión Europea para la Ciberseguridad (ENISA).

Implicaciones

Se espera que este primer esquema de certificación de ciberseguridad propio de la Unión allane el camino para otros esquemas en preparación.

También se prevé un período de transición en el que las organizaciones con certificaciones existentes en determinados Estados miembros puedan seguir beneficiándose de ellos.

Los proveedores podrán convertir sus certificados nacionales existentes en certificados con el nuevo esquema EUCC después de evaluar sus soluciones con respecto a los requisitos agregados o actualizados.

Los organismos de evaluación de la conformidad interesados en realizar evaluaciones según el nuevo esquema pueden acreditarse.

Esta certificación voluntaria complementará la ley de ciberresiliencia (Reglamento (UE) 2019/881) al introducir requisitos vinculantes de ciberseguridad para todos los productos de hardware y software en la Unión e impulsa la aplicación de la directiva NIS 2.3

Otros sistemas de certificación de ciberseguridad

ENISA está trabajando actualmente en dos esquemas de certificación de ciberseguridad más:

  • EUCS, sobre servicios en la nube, y
  • EU5G, sobre seguridad 5G.

También está desarrollando un estudio de viabilidad sobre los requisitos de certificación de ciberseguridad para la inteligencia artificial y para definir una estrategia de certificación para identidad digital (eIDAS).

1 Reglamento de Ejecución (UE) 2024/482 de la Comisión, de 31 de enero de 2024, por el que se establecen disposiciones de aplicación del Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo en lo concerniente a la adopción del esquema europeo de certificación de la ciberseguridad basado en los criterios comunes (EUCC).
2 Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.º 526/2013 («Reglamento sobre la Ciberseguridad»).
3 Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.º 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2).
Iniciativas relacionadas
Alertas Relacionadas
Documentos vinculados
Ámbitos
Más información