El marco de certificación de la ciberseguridad de la UE para los productos de TIC permite la creación de regímenes de certificación de la UE adaptados y basados en el riesgo.
La certificación desempeña un papel crucial en el aumento de la confianza y la seguridad en productos y servicios importantes para el mundo digital. En la actualidad, existen en la UE una serie de regímenes diferentes de certificación de la seguridad de los productos de TIC. Sin embargo, sin un marco común para los certificados de ciberseguridad válidos a escala de la UE, existe un riesgo creciente de fragmentación y barreras entre los Estados miembros.
El marco de certificación proporcionará sistemas de certificación a escala de la UE como un conjunto completo de normas, requisitos técnicos, normas y procedimientos. El marco se basará en un acuerdo a escala de la UE sobre la evaluación de las propiedades de seguridad de un producto o servicio específico basado en las TIC. Dará fe de que los productos y servicios de TIC que han sido certificados de conformidad con dicho sistema cumplen los requisitos especificados.
En particular, cada régimen europeo debe especificar:
- las categorías de productos y servicios cubiertos;
- los requisitos de ciberseguridad, como normas o especificaciones técnicas;
- el tipo de evaluación, como la autoevaluación o la de terceros;
- el nivel de garantía previsto.
Los niveles de garantía se utilizan para informar a los usuarios del riesgo de ciberseguridad de un producto, y pueden ser básicos, sustanciales y / o altos. Son proporcionales al nivel de riesgo asociado con el uso previsto del producto, servicio o proceso, en términos de probabilidad e impacto de un accidente. Un alto nivel de garantía significaría que el producto certificado pasó las pruebas de seguridad más altas.
El certificado resultante será reconocido en todos los Estados miembros de la UE, lo que facilitará a las empresas el comercio transfronterizo y a los compradores la comprensión de las características de seguridad del producto o servicio.
Para obtener más información sobre el trabajo realizado en materia de certificación cibernética de la UE, consulte la certificación de ciberseguridad de ENISA.
Sistema de Certificación de Ciberseguridad de la UE sobre Criterios Comunes (EUCC)
El primer esquema que se adoptará bajo el marco de certificación de la Ley de Ciberseguridad se basa en el reconocido estándar internacional Common Criteria, utilizado para emitir certificados en Europa desde hace casi 30 años. El esquema aprovecha la alta reputación de los proveedores y certificadores europeos que utilizan la certificación basada en criterios comunes en todo el mundo. El esquema comenzará a estar disponible para los proveedores a partir del 27 de febrero de 2025.
El régimen se aplicará de forma voluntaria en toda la UE y se centra en certificar la ciberseguridad de los productos de TIC en su ciclo de vida: sistemas biométricos, cortafuegos (tanto hardware como software), plataformas de detección y respuesta, encaminadores, conmutadores, programas informáticos especializados (como los sistemas SIEM e IDS/IDP), diodos de datos, sistemas operativos (también para dispositivos móviles), almacenamientos cifrados, bases de datos, así como tarjetas inteligentes y elementos seguros incluidos en todo tipo de productos, como los pasaportes utilizados diariamente por todos los ciudadanos.
Para obtener más información sobre el EUCC, consulte el sitio web de certificación de ENISA.
Programa de trabajo evolutivo de la Unión para la certificación europea de la ciberseguridad (URWP)
El Reglamento de Ciberseguridad de la UE prevé la publicación por parte de la Comisión de un programa de trabajo evolutivo de la Unión para la certificación europea de la ciberseguridad, un documento que establece una visión estratégica y reflexiones sobre posibles ámbitos para futuros regímenes europeos de certificación de la ciberseguridad teniendo en cuenta la evolución reciente de la legislación y del mercado.
Teniendo en cuenta la Ley de Ciberresiliencia (CRA) y otros avances legislativos, como el Reglamento sobre la Identidad Digital Europea, el primer URWP señala ámbitos para futuros esquemas europeos de certificación de la ciberseguridad vinculados a avances legislativos, así como ámbitos para la reflexión futura en relación con la certificación de la ciberseguridad, que podrían dar lugar a solicitudes de nuevos esquemas cuando sea necesario y adecuado. Además, esboza las prioridades estratégicas que deben tenerse en cuenta a la hora de preparar cualquier esquema europeo de certificación de la ciberseguridad.
El URWP destaca como ámbitos para la futura certificación europea de la ciberseguridad vinculados a la legislación de la UE, en particular las carteras de identidad y los servicios de seguridad gestionados. Otros ámbitos podrían incluir los sistemas de automatización y control industriales y el desarrollo del ciclo de vida de la seguridad sobre la base de los requisitos de las ACC, así como los mecanismos criptográficos.
Grupo Europeo de Certificación de la Ciberseguridad
El Grupo Europeo de Certificación de la Ciberseguridad (ECCG) se creó para ayudar a garantizar la implementación y aplicación coherentes del Reglamento de Ciberseguridad. Está compuesto por representantes de las autoridades nacionales de certificación de la ciberseguridad o por representantes de otras autoridades nacionales pertinentes. ECCG es fundamental para la preparación del esquema de certificado candidato y la implementación general del marco de certificación.
Grupo de Certificación de Ciberseguridad de las Partes Interesadas
Tras la entrada en vigor de la Ley de Ciberseguridad en 2019, se estableció el Grupo de Certificación de Ciberseguridad de Partes Interesadas (SCCG).
El GCCS es responsable de asesorar a la Comisión y a la ENISA sobre cuestiones estratégicas relativas a la certificación de la ciberseguridad y de asistir a la Comisión en la preparación del programa de trabajo renovable de la Unión. Este es el primer grupo de expertos de partes interesadas para la certificación de la ciberseguridad puesto en marcha por la Comisión Europea.
Últimas noticias
Contenidos relacionados
Visión general
La Unión Europea trabaja en varios frentes para promover la ciberresiliencia, salvaguardar nuestra comunicación y nuestros datos y mantener la seguridad de la sociedad y la economía en línea.
En detalle
El Grupo Europeo de Certificación de la Ciberseguridad se creó para ayudar a garantizar la ejecución y aplicación coherentes del Reglamento de Ciberseguridad.
Véase también
La Ley de Cibersolidaridad de la UE mejorará la preparación, la detección y la respuesta a los incidentes de ciberseguridad en toda la UE.
Los operadores de Servicios Esenciales (OES), las Autoridades Nacionales de Certificación de Ciberseguridad (NCCA) y las Autoridades Nacionales Competentes (ANNC) en materia de ciberseguridad se encuentran entre los solicitantes seleccionados que recibirán 11 millones EUR en...
The European Cybersecurity Network and Cybersecurity Competence Centre help the EU retain and develop cybersecurity technological and industrial capacities.
El Grupo de Certificación de Ciberseguridad de las Partes Interesadas se creó para proporcionar asesoramiento sobre cuestiones estratégicas relacionadas con la certificación de la ciberseguridad.
La Ley de Ciberseguridad refuerza la Agencia de la UE para la ciberseguridad (ENISA) y establece un marco de certificación de la ciberseguridad para productos y servicios.
La Directiva NIS2 es la legislación a escala de la UE en materia de ciberseguridad. Proporciona medidas legales para impulsar el nivel general de ciberseguridad en la UE.