La certificació proporciona un reconeixement formal que es pot confiar que els productes TIC protegiran tant el maquinari com el programari que els ciutadans utilitzen diàriament.
La Comissió Europea va adoptar el reglament d'aplicació relatiu al sistema de certificació de ciberseguretat de la UE sobre criteris comuns (EUCC). El resultat està totalment en línia amb l'esquema candidat de certificació de ciberseguretat en EUCC que ENISA va redactar en resposta a una sol·licitud emesa per la Comissió Europea. En la redacció de l'esquema candidat, ENISA va comptar amb el suport d'un grup de treball ad hoc (AHWG) compost per experts de l'àrea de tota la indústria i autoritats nacionals de certificació de ciberseguretat (NCCA) dels Estats membres de la UE.
Com a primer esquema de certificació de ciberseguretat de la UE que s'adopta, s'espera que l'EUCC aplani el camí per als propers esquemes que estan actualment en preparació. Si ben un acte d'execució forma part de el “cabal comunitari”, la legislació de la UE, el marc de certificació de la ciberseguretat és voluntari. Amb el temps, EUCC reemplaçarà els esquemes de certificació nacionals que anteriorment estaven sota l'acord SOG-IS.
El pla voluntari complementarà la Llei de Resiliència Cibernètica que introduce requisitos vinculantes de ciberseguridad para todos los productos de hardware y software en la UE. Este importante paso contribuye a fomentar el liderazgo digital global de Europa. Además, el plan también impulsará la implementación de la Directiva NIS2 .
El plan se publicará en breve en el Diario Oficial de la UE y entrará en vigor 20 días después de su publicación. Junto con la publicación del sistema de certificación en el Diario Oficial, la Comisión también publicará el primer programa de trabajo continuo de la Unión para la certificación europea de ciberseguridad. Este documento establece una visión estratégica y reflexiones sobre posibles áreas para futuros esquemas europeos de certificación de ciberseguridad considerando los recientes desarrollos legislativos y de mercado.
Què és l'EUCC?
Según lo dispuesto en la Ley de Ciberseguridad de 2019, el nuevo sistema se encuadra en el marco de certificación de ciberseguridad de la UE. El objetivo de este marco era elevar el nivel de ciberseguridad de los productos, servicios y procesos de TIC en el mercado de la UE. Para ello, establece un conjunto completo de normas, requisitos de normas técnicas, normas y procedimientos que se aplicarán en toda la Unión.
El nou esquema EUCC, de caràcter voluntari, permet als proveïdors de TIC que desitgin presentar proves de garantia passar per un procés d'avaluació comunament entès en la UE per certificar productes de TIC, com a components tecnològics (xips, targetes intel·ligents), maquinari i programari.
El pla es basa en el marc d'avaluació de Criteris Comuns SOG-IS, d'eficàcia provada, que ja s'utilitza en 17 Estats membres de la UE. Proposa dos nivells d'assegurament basats en el nivell de risc associat a l'ús previst del producte, servei o procés, en termes de probabilitat i impacte d'un accident.
Sobre la base d'àmplies recerques i consultes, el pla integral s'ha adaptat a les necessitats dels Estats membres de la UE. Per tant, els mecanismes de certificació a escala de la Unió permeten a les empreses europees competir a nivell nacional, de la Unió i mundial.
En altres paraules, s'espera que els esquemes de certificació de la UE, com l'EUCC, també serveixin d'incentiu perquè els proveïdors compleixin amb els requisits de certificació de ciberseguretat. L'EUCC entra al vibrant mercat de les cibercertificaciones estudiades en el nou informe publicat per ENISA seguint l'evolució del nombre de metodologies i organismes d'avaluació dedicats a productes i serveis TIC.
Procés d'adopció i propers passos
Junto con el grupo de trabajo ad hoc, ENISA compiló el esquema candidato con los requisitos de seguridad y los métodos de evaluación comúnmente aceptados, definidos y acordados.
ENISA va transmetre el projecte de pla a la Comissió Europea després que l'ECCG emetés el seu dictamen. L'acte d'execució emès per la Comissió Europea com a resultat d'això va ser adoptat posteriorment mitjançant el procediment pertinent conegut com a procediment de comitología.
L'acte adoptat preveu un període de transició durant el qual les organitzacions encara podran beneficiar-se de les certificacions existents en el marc de sistemes nacionals en determinats Estats membres. Els organismes d'avaluació de la conformitat (CAB) interessats a realitzar avaluacions segons EUCC poden ser acreditats i notificats. Els proveïdors podran convertir els seus certificats SOG-IS existents en certificats EUCC després d'avaluar les seves solucions pel que fa als requisits agregats o actualitzats segons l'especificat en l'EUCC.
Los certificados emitidos bajo EUCC serán publicados por ENISA. ENISA también publica la Ley de Ejecución y los documentos de respaldo, como anexos, documentos de última generación y orientación, en el sitio web dedicado a la certificación. La Agencia de Ciberseguridad de la Unión Europea también propone material de apoyo, incluido un vídeo sobre los últimos avances del plan y en apoyo de su implementación.
Altres sistemes de certificació de ciberseguretat de la UE
ENISA està treballant actualment en dos esquemes de certificació de ciberseguretat més, EUCS sobre serveis en el núvol i EU5G sobre seguretat 5G. L'Agència també ha emprès un estudi de viabilitat sobre els requisits de certificació de ciberseguretat de la UE per la IA i està recolzant a la Comissió Europea i als Estats membres per establir una estratègia de certificació per eIDAS/billetera . Més recentment, la Comissió Europea va proposar una esmena a la Llei de Ciberseguretat que preveu un esquema per a serveis de seguretat gestionats (MSSP).
Més informació
- Acte d'execució de la UE
- Tema ENISA: Certificació
- Lloc web de certificació ENISA
- Informi sobre avaluacions del mercat de ciberseguretat
- Consulta pública sobre el sistema europeu de certificació de ciberseguretat basat en criteris comuns (EUCC)
- Llei de ciberseguretat i marc de certificació de ciberseguretat
Font original de la notícia
(Comissió Europea)
Font original de la notícia (ENISA)
