El Reglamento sobe la Ciberseguridad , establece, por un lado, los objetivos, tareas y aspectos organizativos relativos a ENISA (Agencia de la Unión Europea para la Ciberseguridad) ; y, por otro lado, un marco para la creación de esquemas europeos de certificación de la ciberseguridad, al objeto de garantizar un nivel adecuado de ciberseguridad de los productos, servicios y procesos de TIC en la UE, así como de evitar la fragmentación del mercado interior en el terreno de los esquemas de certificación de la ciberseguridad. Entrará en vigor el 27 de junio de 2019.
En primer lugar, se desarrollan los aspectos relativos a ENISA que contribuirá a reducir la fragmentación del mercado interior actuando como punto de referencia de asesoramiento y conocimientos especializados en materia de ciberseguridad en la UE. El reglamento establece sus objetivos, tareas, organización, previsiones sobre su presupuesto, personal, y otras disposiciones generales, como su estatuto jurídico.
Las tareas de ENISA incluyen: contribuir a la elaboración y ejecución de la política y del derecho de la Unión; asistir a la creación de capacidades de ciberseguridad; apoyar la cooperación entre los Estados miembros, las instituciones, órganos y organismos de la Unión y entre las partes interesadas (CERT-UE, red de CSIRT, ejercicios de ciberseguridad, informes sobre la situación de ciberseguridad, respuesta cooperativa); mercado, certificación de la ciberseguridad y normalización; conocimiento e información; sensibilización y educación; investigación e innovación; y cooperación internacional.
La segunda gran cuestión que aborda el Reglamento es la creación del marco europeo de certificación de la ciberseguridad que persigue un planteamiento armonizado de esquemas europeos de certificación de la ciberseguridad en la UE, con el objetivo de crear un mercado único digital para los productos, servicios y procesos de TIC.
Este marco europeo de certificación de la ciberseguridad define un mecanismo para establecer esquemas europeos de certificación de la ciberseguridad, y para confirmar que los productos, servicios y procesos de TIC que hayan sido evaluados con arreglo a dichos esquemas cumplen los requisitos de seguridad especificados con el objetivo de proteger la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o procesados o las funciones o servicios que ofrecen, o a los que permiten acceder, dichos productos, servicios y procesos durante todo su ciclo de vida.
La Comisión publicará un programa de trabajo evolutivo para los esquemas europeos de certificación de la ciberseguridad que definirá las prioridades estratégicas para los futuros esquemas. Incluirá una lista de productos, servicios y procesos de TIC, o de categorías de los mismos, que pudieran beneficiarse de su inclusión en el ámbito de aplicación de un esquema europeo de certificación de la ciberseguridad.
También establece el Reglamento las condiciones para la solicitud, reparación, adopción y revisión de esquemas europeos de certificación de la ciberseguridad; así como sobre sus objetivos, elementos, niveles de garantía, difusión. También establece previsiones sobre la certificación de la ciberseguridad; los Esquemas y certificados nacionales de certificación de la ciberseguridad; las autoridades nacionales de certificación de la ciberseguridad; los organismos de evaluación de la conformidad; y sobre un Grupo Europeo de Certificación de la Ciberseguridad de nueva creación.