Marco de certificación de la ciberseguridad de la UE

La certificación desempeña un papel crucial en el aumento de la confianza y la seguridad en productos y servicios importantes para el mundo digital. Por el momento, existen en la UE una serie de sistemas de certificación de seguridad diferentes para los productos de TIC. Sin embargo, sin un marco común para los certificados de ciberseguridad válidos a escala de la UE, existe un riesgo cada vez mayor de fragmentación y barreras entre los Estados miembros.

El marco de certificación proporcionará sistemas de certificación a escala de la UE como un conjunto completo de normas, requisitos técnicos, normas y procedimientos. El marco se basará en un acuerdo a escala de la UE sobre la evaluación de las propiedades de seguridad de un producto o servicio específico basado en las TIC. Certificará que los productos y servicios de TIC que han sido certificados de conformidad con dicho sistema cumplen los requisitos especificados.

En particular, cada régimen europeo debe especificar:

• las categorías de productos y servicios cubiertos;
• los requisitos de ciberseguridad, como las normas o las especificaciones técnicas;
• el tipo de evaluación, como la autoevaluación o terceras partes;
• el nivel de garantía previsto.

Los niveles de garantía se utilizan para informar a los usuarios del riesgo de ciberseguridad de un producto, y pueden ser básicos, sustanciales o altos. Son proporcionales al nivel de riesgo asociado con el uso previsto del producto, servicio o proceso, en términos de probabilidad e impacto de un accidente. Un alto nivel de garantía significaría que el producto certificado superó las pruebas de seguridad más altas.

El certificado resultante se reconocerá en todos los Estados miembros de la UE, lo que facilitará a las empresas el comercio transfronterizo y a los compradores comprender las características de seguridad del producto o servicio.

Sistema de Certificación de Ciberseguridad basado en Criterios Comunes

El primer esquema que se adoptará en virtud del marco de certificación de la Ley de Ciberseguridad se basa en la reconocida norma internacional Common Criteria, utilizada para expedir certificados en Europa desde hace casi 30 años. El sistema aprovecha la alta reputación de los proveedores y certificadores europeos que utilizan la certificación basada en criterios comunes en todo el mundo. 

El régimen se aplicará sobre una base voluntaria a escala de la UE y se centrará en certificar la ciberseguridad de los productos de TIC en su ciclo de vida: sistemas biométricos, cortafuegos (tanto hardware como software), plataformas de detección y respuesta, routers, switches, software especializado (como sistemas SIEM e IDS/IDP), diodos de datos, sistemas operativos (incluidos los dispositivos móviles), almacenamientos cifrados, bases de datos, así como tarjetas inteligentes y elementos seguros incluidos en todo tipo de productos, como en los pasaportes utilizados diariamente por todos los ciudadanos. 

Programa de trabajo evolutivo de la Unión para la certificación europea de la ciberseguridad (URWP)

El Reglamento de Ciberseguridad de la UE prevé la publicación por la Comisión de un programa de trabajo evolutivo de la Unión para la certificación europea de la ciberseguridad, un documento que establezca una visión estratégica y reflexiones sobre posibles ámbitos para futuros regímenes europeos de certificación de la ciberseguridad teniendo en cuenta la reciente evolución legislativa y del mercado. 

Teniendo en cuenta la Ley de ciberresiliencia (CRA) y otros avances legislativos, como el Reglamento sobre la identidad digital europea, el primer URWP señala ámbitos para futuros regímenes europeos de certificación de la ciberseguridad vinculados a la evolución legislativa, así como ámbitos de reflexión futura en relación con la certificación de la ciberseguridad, que eventualmente podrían dar lugar a solicitudes de nuevos regímenes cuando sea necesario y apropiado. Además, describe las prioridades estratégicas que deben tenerse en cuenta a la hora de preparar cualquier régimen europeo de certificación de la ciberseguridad. 

El URWP destaca como ámbitos de futuro la certificación europea de ciberseguridad vinculada a la legislación de la UE, en particular las carteras de identificación y los servicios de seguridad gestionados.  Otras áreas podrían incluir los sistemas de automatización y control industriales y el desarrollo del ciclo de vida de la seguridad basándose en los requisitos de la CRA, así como en los mecanismos criptográficos.  

Grupo Europeo de Certificación de Ciberseguridad 

El Grupo Europeo de Certificación de Ciberseguridad (ECCG) se creó para ayudar a garantizar la aplicación y aplicación coherentes de la Ley de Ciberseguridad. Está compuesto por representantes de las autoridades nacionales de certificación de la ciberseguridad o representantes de otras autoridades nacionales pertinentes. El ECCG es fundamental para la preparación del sistema de certificados candidatos y la aplicación general del marco de certificación.

Grupo de Certificación de Ciberseguridad de las Partes Interesadas

Tras la entrada en vigor de la Ley de Ciberseguridad en 2019, se creó el Grupo de Certificación de Ciberseguridad de las Partes Interesadas (SCCG). 

La CGEC es responsable de asesorar a la Comisión y a ENISA sobre cuestiones estratégicas relacionadas con la certificación de la ciberseguridad y de asistir a la Comisión en la preparación del programa de trabajo continuo de la Unión. Este es el primer grupo de expertos de las partes interesadas en certificación de ciberseguridad lanzado por la Comisión Europea.

Seguir el trabajo del Grupo