El Reglament sobe la Ciberseguretat
, establix, d'una banda, els objectius, tasques i aspectes organitzatius relatius a ENISA (Agència de la Unió Europea per a la Ciberseguretat) ; i, d'altra banda, un marc per a la creació d'esquemes europeus de certificació de la ciberseguretat, a fi de garantir un nivell adequat de ciberseguretat dels productes, servicis i processos de TIC en la UE, així com d'evitar la fragmentació del mercat interior en el terreny dels esquemes de certificació de la ciberseguretat. Entrarà en vigor el 27 de juny de 2019.
En primer lloc, es desenvolupen els aspectes relatius a ENISA que contribuirà a reduir la fragmentació del mercat interior actuant com a punt de referència d'assessorament i coneixements especialitzats en matèria de ciberseguretat en la UE. El reglament establix els seus objectius, tasques, organització, previsions sobre el seu pressupost, personal, i altres disposicions generals, com el seu estatut jurídic.
Les tasques d'ENISA inclouen: contribuir a l'elaboració i execució de la política i del dret de la Unió; assistir a la creació de capacitats de ciberseguretat; recolzar la cooperació entre els Estats membres, les institucions, òrgans i organismes de la Unió i entre les parts interessades (CERT-UE, xarxa de CSIRT, exercicis de ciberseguretat, informes sobre la situació de ciberseguretat, resposta cooperativa); mercat, certificació de la ciberseguretat i normalització; coneixement i informació; sensibilització i educació; investigació i innovació; i cooperació internacional.
La segona gran qüestió que aborda el Reglament és la creació del marc europeu de certificació de la ciberseguretat que perseguix un plantejament harmonitzat d'esquemes europeus de certificació de la ciberseguretat en la UE, amb l'objectiu de crear un mercat únic digital per als productes, servicis i processos de TIC.
Este marc europeu de certificació de la ciberseguretat definix un mecanisme per a establir esquemes europeus de certificació de la ciberseguretat, i per a confirmar que els productes, servicis i processos de TIC que hagen sigut avaluats conformement a aquests esquemes complixen els requisits de seguretat especificats amb l'objectiu de protegir la disponibilitat, autenticitat, integritat o confidencialitat de les dades emmagatzemades, transmesos o processaments o les funcions o servicis que oferixen, o als quals permeten accedir, aquests productes, servicis i processos durant tot el seu cicle de vida.
La Comissió publicarà un programa de treball evolutiu per als esquemes europeus de certificació de la ciberseguretat que definirà les prioritats estratègiques per als futurs esquemes. Inclourà una llista de productes, servicis i processos de TIC, o de categories dels mateixos, que pogueren beneficiar-se de la seua inclusió en l'àmbit d'aplicació d'un esquema europeu de certificació de la ciberseguretat.
També establix el Reglament les condicions per a la sol·licitud, reparació, adopció i revisió d'esquemes europeus de certificació de la ciberseguretat; així com sobre els seus objectius, elements, nivells de garantia, difusió. També establix previsions sobre la certificació de la ciberseguretat; els Esquemes i certificats nacionals de certificació de la ciberseguretat; les autoritats nacionals de certificació de la ciberseguretat; els organismes d'avaluació de la conformitat; i sobre un Grup Europeu de Certificació de la Ciberseguretat de nova creació.
