En marcha el primer sistema de certificación de ciberseguridad de productos TIC en Europa
La Comisión ha adoptado el reglamento de aplicación relativo al sistema de certificación de ciberseguridad de la Unión Europea sobre criterios comunes (EUCC), en consonancia con la Ley de Ciberseguridad.
Luz verde al primer sistema de certificación de ciberseguridad, un protocolo definido en consonancia con la Ley de Ciberseguridad de la Unión Europea (UE). La Comisión Europea ha adoptado un reglamento de aplicación relativo al sistema de certificación de ciberseguridad sobre criterios comunes (EUCC) en el Viejo Continente. Una medida impulsada con el propósito de proporcionar un reconocimiento formal de confianza en que los productos TIC protegerán tanto el hardware como el software que los ciudadanos utilizan a diario.
El resultado de la iniciativa está en armonía con el esquema candidato de certificación de ciberseguridad en EUCC que ENISA redactó en respuesta a una solicitud emitida por la Comisión Europea. En la redacción del esquema candidato, ENISA contó con el apoyo de un grupo de trabajo ad hoc (AHWG) compuesto por expertos del área de toda la industria y autoridades nacionales de certificación de ciberseguridad (NCCA) de los Estados miembro.
Como primer esquema de certificación de ciberseguridad de la UE que se adopta, se espera que allane el camino para los próximos, actualmente en preparación. Si bien un acto de ejecución forma parte del “acervo comunitario” según la Comisión, su carácter es totalmente voluntario. En este sentido cabe destacar que, con el tiempo, se espera que reemplace a los esquemas de certificación nacionales que anteriormente estaban bajo el acuerdo SOG-IS.
El plan voluntario complementará la Ley de Resiliencia Cibernética que introduce requisitos vinculantes de ciberseguridad para todos los productos de hardware y software en la Eurozona. Este paso contribuye, por tanto, a fomentar el liderazgo digital global de Europa. Además, el plan también impulsará la implementación de la directiva NIS2.
A fondo
Según lo dispuesto en la Ley de Ciberseguridad de 2019, el nuevo sistema se encuadra en el marco de certificación de ciberseguridad de la UE. El objetivo de este marco radica en elevar el nivel de ciberseguridad de los productos, servicios y procesos de TIC en el mercado europeo. El nuevo esquema EUCC, de carácter voluntario, permite a los proveedores de TIC que deseen presentar pruebas de garantía pasar por un proceso de evaluación comúnmente entendido para certificar productos TIC, como componentes tecnológicos, hardware y software.
El plan se basa en el marco de evaluación de Criterios Comunes SOG-IS, de eficacia probada, que ya se utiliza en 17 Estados miembro. Propone dos niveles de aseguramiento basados en el nivel de riesgo asociado al uso previsto del producto, servicio o proceso, en términos de probabilidad e impacto de un accidente.
