La certificació proporciona un reconeixement formal que es pot confiar que els productes TIC protegiran tant el maquinari com el programari que els ciutadans utilitzen diàriament.
La Comissió Europea va adoptar el reglament d'aplicació relatiu al sistema de certificació de ciberseguretat de la UE sobre criteris comuns (EUCC). El resultat està totalment en línia amb l'esquema candidat de certificació de ciberseguretat en EUCC que ENISA va redactar en resposta a una sol·licitud emesa per la Comissió Europea. En la redacció de l'esquema candidat, ENISA va comptar amb el suport d'un grup de treball ad hoc (AHWG) compost per experts de l'àrea de tota la indústria i autoritats nacionals de certificació de ciberseguretat (NCCA) dels Estats membres de la UE.
Com a primer esquema de certificació de ciberseguretat de la UE que s'adopta, s'espera que l'EUCC aplane el camí per als pròxims esquemes que estan actualment en preparació. Si ben un acte d'execució forma part de el “cabal comunitari”, la legislació de la UE, el marc de certificació de la ciberseguretat és voluntari. Amb el temps, EUCC reemplaçarà els esquemes de certificació nacionals que anteriorment estaven baix l'acord SOG-IS.
El pla voluntari complementarà la Llei de Resiliència Cibernètica que introduïx requisits vinculants de ciberseguretat per a tots els productes de maquinari i programari en la UE. Este important pas contribuïx a fomentar el lideratge digital global d'Europa. A més, el pla també impulsarà la implementació de la Directiva NIS2 .
El pla es publicarà en breu en el Diari Oficial de la UE i entrarà en vigor 20 dies després de la seua publicació. Juntament amb la publicació del sistema de certificació en el Diari Oficial, la Comissió també publicarà el primer programa de treball continu de la Unió per a la certificació europea de ciberseguretat. Este document establix una visió estratègica i reflexions sobre possibles àrees per a futurs esquemes europeus de certificació de ciberseguretat considerant els recents desenvolupaments legislatius i de mercat.
Què és l'EUCC?
Segons el que es disposa en la Llei de Ciberseguretat de 2019, el nou sistema s'enquadra en el marc de certificació de ciberseguretat de la UE. L'objectiu d'este marc era elevar el nivell de ciberseguretat dels productes, servicis i processos de TIC en el mercat de la UE. Per a açò, establix un conjunt complet de normes, requisits de normes tècniques, normes i procediments que s'aplicaran en tota la Unió.
El nou esquema EUCC, de caràcter voluntari, permet als proveïdors de TIC que desitgen presentar proves de garantia passar per un procés d'avaluació comunament entés en la UE per a certificar productes de TIC, com a components tecnològics (xips, targetes intel·ligents), maquinari i programari.
El pla es basa en el marc d'avaluació de Criteris Comuns SOG-IS, d'eficàcia provada, que ja s'utilitza en 17 Estats membres de la UE. Proposa dos nivells d'assegurament basats en el nivell de risc associat a l'ús previst del producte, servici o procés, en termes de probabilitat i impacte d'un accident.
Sobre la base d'àmplies investigacions i consultes, el pla integral s'ha adaptat a les necessitats dels Estats membres de la UE. Per tant, els mecanismes de certificació a escala de la Unió permeten a les empreses europees competir a nivell nacional, de la Unió i mundial.
En altres paraules, s'espera que els esquemes de certificació de la UE, com l'EUCC, també servisquen d'incentiu perquè els proveïdors complisquen amb els requisits de certificació de ciberseguretat. L'EUCC entra en el vibrant mercat de les cibercertificaciones estudiades en el nou informe publicat per ENISA seguint l'evolució del nombre de metodologies i organismes d'avaluació dedicats a productes i servicis TIC.
Procés d'adopció i pròxims passos
Juntament amb el grup de treball ad hoc, ENISA va compilar l'esquema candidat amb els requisits de seguretat i els mètodes d'avaluació comunament acceptats, definits i acordats.
ENISA va transmetre el projecte de pla a la Comissió Europea després que l'ECCG emetera el seu dictamen. L'acte d'execució emès per la Comissió Europea com a resultat d'açò va ser adoptat posteriorment mitjançant el procediment pertinent conegut com a procediment de comitología.
L'acte adoptat preveu un període de transició durant el qual les organitzacions encara podran beneficiar-se de les certificacions existents en el marc de sistemes nacionals en determinats Estats membres. Els organismes d'avaluació de la conformitat (CAB) interessats a realitzar avaluacions segons EUCC poden ser acreditats i notificats. Els proveïdors podran convertir els seus certificats SOG-IS existents en certificats EUCC després d'avaluar les seues solucions respecte dels requisits agregats o actualitzats segons l'especificat en l'EUCC.
Els certificats emesos baix EUCC seran publicats per ENISA. ENISA també publica la Llei d'Execució i els documents de respatler, com a annexos, documents d'última generació i orientació, en el lloc web dedicat a la certificació. L'Agència de Ciberseguretat de la Unió Europea també proposa material de suport, inclòs un vídeo sobre els últims avanços del pla i en suport de la seua implementació.
Altres sistemes de certificació de ciberseguretat de la UE
ENISA està treballant actualment en dos esquemes de certificació de ciberseguretat més, EUCS sobre servicis en el núvol i EU5G sobre seguretat 5G. L'Agència també ha emprès un estudi de viabilitat sobre els requisits de certificació de ciberseguretat de la UE per a la IA i està recolzant a la Comissió Europea i als Estats membres per a establir una estratègia de certificació per a eIDAS/billetera . Més recentment, la Comissió Europea va proposar una esmena a la Llei de Ciberseguretat que preveu un esquema per a servicis de seguretat gestionats (MSSP).
Més informació
- Acte d'execució de la UE
- Tema ENISA: Certificació
- Lloc web de certificació ENISA
- Informe sobre avaluacions del mercat de ciberseguretat
- Consulta pública sobre el sistema europeu de certificació de ciberseguretat basat en criteris comuns (EUCC)
- Llei de ciberseguretat i marc de certificació de ciberseguretat
Font original de la notícia
(Comissió Europea)
Font original de la notícia (ENISA)
