La certificació proporciona un reconeixement formal que es pot confiar que els productes TIC protegiran tant el maquinari com el programari que els ciutadans utilitzen diàriament.
La Comissió Europea va adoptar el reglament d'aplicació relatiu al sistema de certificació de ciberseguretat de la UE sobre criteris comuns (EUCC). El resultat està totalment en línia amb l'esquema candidat de certificació de ciberseguretat en EUCC que ENISA va redactar en resposta a una sol·licitud emesa per la Comissió Europea. En la redacció de l'esquema candidat, ENISA va comptar amb el suport d'un grup de treball ad hoc (AHWG) compost per experts de l'àrea de tota la indústria i autoritats nacionals de certificació de ciberseguretat (NCCA) dels Estats membres de la UE.
Com a primer esquema de certificació de ciberseguretat de la UE que s'adopta, s'espera que l'EUCC aplani el camí per als propers esquemes que estan actualment en preparació. Si ben un acte d'execució forma part de el “cabal comunitari”, la legislació de la UE, el marc de certificació de la ciberseguretat és voluntari. Amb el temps, EUCC reemplaçarà els esquemes de certificació nacionals que anteriorment estaven sota l'acord SOG-IS.
El pla voluntari complementarà la Llei de Resiliència Cibernètica que introdueix requisits vinculants de ciberseguretat per a tots els productes de maquinari i programari en la UE. Aquest important pas contribueix a fomentar el lideratge digital global d'Europa. A més, el pla també impulsarà la implementació de la Directiva NIS2 .
El pla es publicarà en breu en el Diari Oficial de la UE i entrarà en vigor 20 dies després de la seva publicació. Juntament amb la publicació del sistema de certificació en el Diari Oficial, la Comissió també publicarà el primer programa de treball continu de la Unió per a la certificació europea de ciberseguretat. Aquest document estableix una visió estratègica i reflexions sobre possibles àrees per a futurs esquemes europeus de certificació de ciberseguretat considerant els recents desenvolupaments legislatius i de mercat.
Què és l'EUCC?
Segons el que es disposa en la Llei de Ciberseguretat de 2019, el nou sistema s'enquadra en el marc de certificació de ciberseguretat de la UE. L'objectiu d'aquest marc era elevar el nivell de ciberseguretat dels productes, serveis i processos de TIC al mercat de la UE. Per a això, estableix un conjunt complet de normes, requisits de normes tècniques, normes i procediments que s'aplicaran en tota la Unió.
El nou esquema EUCC, de caràcter voluntari, permet als proveïdors de TIC que desitgin presentar proves de garantia passar per un procés d'avaluació comunament entès en la UE per certificar productes de TIC, com a components tecnològics (xips, targetes intel·ligents), maquinari i programari.
El pla es basa en el marc d'avaluació de Criteris Comuns SOG-IS, d'eficàcia provada, que ja s'utilitza en 17 Estats membres de la UE. Proposa dos nivells d'assegurament basats en el nivell de risc associat a l'ús previst del producte, servei o procés, en termes de probabilitat i impacte d'un accident.
Sobre la base d'àmplies recerques i consultes, el pla integral s'ha adaptat a les necessitats dels Estats membres de la UE. Per tant, els mecanismes de certificació a escala de la Unió permeten a les empreses europees competir a nivell nacional, de la Unió i mundial.
En altres paraules, s'espera que els esquemes de certificació de la UE, com l'EUCC, també serveixin d'incentiu perquè els proveïdors compleixin amb els requisits de certificació de ciberseguretat. L'EUCC entra al vibrant mercat de les cibercertificaciones estudiades en el nou informe publicat per ENISA seguint l'evolució del nombre de metodologies i organismes d'avaluació dedicats a productes i serveis TIC.
Procés d'adopció i propers passos
Juntament amb el grup de treball ad hoc, ENISA va compilar l'esquema candidat amb els requisits de seguretat i els mètodes d'avaluació comunament acceptats, definits i acordats.
ENISA va transmetre el projecte de pla a la Comissió Europea després que l'ECCG emetés el seu dictamen. L'acte d'execució emès per la Comissió Europea com a resultat d'això va ser adoptat posteriorment mitjançant el procediment pertinent conegut com a procediment de comitología.
L'acte adoptat preveu un període de transició durant el qual les organitzacions encara podran beneficiar-se de les certificacions existents en el marc de sistemes nacionals en determinats Estats membres. Els organismes d'avaluació de la conformitat (CAB) interessats a realitzar avaluacions segons EUCC poden ser acreditats i notificats. Els proveïdors podran convertir els seus certificats SOG-IS existents en certificats EUCC després d'avaluar les seves solucions pel que fa als requisits agregats o actualitzats segons l'especificat en l'EUCC.
Els certificats emesos sota EUCC seran publicats per ENISA. ENISA també publica la Llei d'Execució i els documents de respatller, com a annexos, documents d'última generació i orientació, en el lloc web dedicat a la certificació. L'Agència de Ciberseguretat de la Unió Europea també proposa material de suport, inclòs un vídeo sobre els últims avanços del pla i en suport de la seva implementació.
Altres sistemes de certificació de ciberseguretat de la UE
ENISA està treballant actualment en dos esquemes de certificació de ciberseguretat més, EUCS sobre serveis en el núvol i EU5G sobre seguretat 5G. L'Agència també ha emprès un estudi de viabilitat sobre els requisits de certificació de ciberseguretat de la UE per la IA i està recolzant a la Comissió Europea i als Estats membres per establir una estratègia de certificació per eIDAS/billetera . Més recentment, la Comissió Europea va proposar una esmena a la Llei de Ciberseguretat que preveu un esquema per a serveis de seguretat gestionats (MSSP).
Més informació
- Acte d'execució de la UE
- Tema ENISA: Certificació
- Lloc web de certificació ENISA
- Informi sobre avaluacions del mercat de ciberseguretat
- Consulta pública sobre el sistema europeo de certificación de ciberseguridad basado en criterios comunes (EUCC)
- Llei de ciberseguretat i marc de certificació de ciberseguretat
Font original de la notícia
(Comissió Europea)
Font original de la notícia (ENISA)
