A certificación proporciona un recoñecemento formal de que se pode confiar en que os produtos TIC protexerán tanto o hardware como o software que os cidadáns utilizan a diario.
A Comisión Europea adoptou o regulamento de aplicación relativo ao sistema de certificación de ciberseguridade da UE sobre criterios comúns (EUCC). O resultado está totalmente en liña co esquema candidato de certificación de ciberseguridade en EUCC que ENISA redactou en resposta a unha solicitude emitida pola Comisión Europea. Na redacción do esquema candidato, ENISA contou co apoio dun grupo de traballo ad hoc (AHWG) composto por expertos da área de toda a industria e autoridades nacionais de certificación de ciberseguridade (NCCA) dos Estados membros da UE.
Como primeiro esquema de certificación de ciberseguridade da UE que se adopta, espérase que o EUCC achande o camiño para os próximos esquemas que están actualmente en preparación. Aínda que un acto de execución forma parte do “acervo comunitario”, a lexislación da UE, o marco de certificación da ciberseguridade é voluntario. Co tempo, EUCC substituirá os esquemas de certificación nacionais que anteriormente estaban baixo o acordo SOG-IS.
O plan voluntario complementará a Lei de Resiliencia Cibernética que introduce requisitos vinculantes de ciberseguridade para todos os produtos de hardware e software na UE. Este importante paso contribúe a fomentar o liderado dixital global de Europa. Ademais, o plan tamén impulsará a implementación de a Directiva NIS2 .
O plan publicarase en breve no Diario Oficial da UE e entrará en vigor 20 días despois da súa publicación. Xunto coa publicación do sistema de certificación no Diario Oficial, a Comisión tamén publicará o primeiro programa de traballo continuo da Unión para a certificación europea de ciberseguridade. Este documento establece unha visión estratéxica e reflexións sobre posibles áreas para futuros esquemas europeos de certificación de ciberseguridade considerando os recentes desenvolvementos lexislativos e de mercado.
Que é a EUCC?
Segundo o disposto na Lei de Ciberseguridade de 2019, o novo sistema encádrase no marco de certificación de ciberseguridade da UE. O obxectivo deste marco era elevar o nivel de ciberseguridade dos produtos, servizos e procesos de TIC no mercado da UE. Para iso, establece un conxunto completo de normas, requisitos de normas técnicas, normas e procedementos que se aplicarán en toda a Unión.
O novo esquema EUCC, de carácter voluntario, permite aos provedores de TIC que desexen presentar probas de garantía pasar por un proceso de avaliación comunmente entendido na UE para certificar produtos de TIC, como compoñentes tecnolóxicos (chips, cartóns intelixentes), hardware e software.
O plan baséase no marco de avaliación de Criterios Comúns SOG-IS, de eficacia probada, que xa se utiliza en 17 Estados membros da UE. Propón dous niveis de aseguramiento baseados no nivel de risco asociado ao uso previsto do produto, servizo ou proceso, en termos de probabilidade e impacto dun accidente.
Sobre a base de amplas investigacións e consultas, o plan integral adaptouse ás necesidades dos Estados membros da UE. Por tanto, os mecanismos de certificación a escala da Unión permiten ás empresas europeas competir a nivel nacional, da Unión e mundial.
Noutras palabras, espérase que os esquemas de certificación da UE, como o EUCC, tamén sirvan de incentivo para que os provedores cumpran cos requisitos de certificación de ciberseguridade. A EUCC entra no vibrante mercado das cibercertificaciones estudadas no novo informe publicado por ENISA seguindo a evolución do número de metodoloxías e organismos de avaliación dedicados a produtos e servizos TIC.
Proceso de adopción e próximos pasos
Xunto co grupo de traballo ad hoc, ENISA compiló o esquema candidato cos requisitos de seguridade e os métodos de avaliación comunmente aceptados, definidos e acordados.
ENISA transmitiu o proxecto de plan á Comisión Europea despois de que o ECCG emitise o seu ditame. O acto de execución emitido pola Comisión Europea como resultado diso foi adoptado posteriormente mediante o procedemento pertinente coñecido como procedemento de comitología.
O acto adoptado prevé un período de transición durante o cal as organizacións aínda poderán beneficiarse das certificacións existentes no marco de sistemas nacionais en determinados Estados membros. Os organismos de avaliación da conformidade (CAB) interesados en realizar avaliacións segundo EUCC poden ser acreditados e notificados. Os provedores poderán converter os seus certificados SOG-IS existentes en certificados EUCC despois de avaliar as súas solucións con respecto aos requisitos agregados ou actualizados segundo o especificado no EUCC.
Os certificados emitidos baixo EUCC serán publicados por ENISA. ENISA tamén publica a Lei de Execución e os documentos de respaldo, como anexos, documentos de última xeración e orientación, no sitio web dedicado á certificación. A Axencia de Ciberseguridade da Unión Europea tamén propón material de apoio, incluído un vídeo sobre os últimos avances do plan e en apoio da súa implementación.
Outros sistemas de certificación de ciberseguridade da UE
ENISA está a traballar actualmente en dous esquemas de certificación de ciberseguridade máis, EUCS sobre servizos na nube e EU5G sobre seguridade 5G. A Axencia tamén emprendeu un estudo de viabilidade sobre os requisitos de certificación de ciberseguridade da UE para a IA e está a apoiar á Comisión Europea e aos Estados membros para establecer unha estratexia de certificación para eIDAS/billeteira . Máis recentemente, a Comisión Europea propuxo unha emenda á Lei de Ciberseguridade que prevé un esquema para servizos de seguridade xestionados (MSSP).
Máis información
- Acto de execución da UE
- Tema ENISA: Certificación
- Sitio web de certificación ENISA
- Informe sobre avaliacións do mercado de ciberseguridade
- Consulta pública sobre o sistema europeo de certificación de ciberseguridade baseado en criterios comúns (EUCC)
- Lei de ciberseguridade e marco de certificación de ciberseguridade
Fonte orixinal da noticia (Comisión Europea)
Fonte orixinal da noticia (ENISA)