Con el desarrollo de la certificaci贸n de ciberseguridad a escala de la UE se pretende armonizar el reconocimiento del nivel de ciberseguridad de las soluciones TIC en toda la Uni贸n.
Los sistemas de certificaci贸n de la UE son desarrollados por ENISA dentro del marco definido en el Reglamento sobre Ciberseguridad (Reglamento 881 /2019), mediante los procedimientos y sistemas de trabajo de esta Agencia聽 y teniendo en cuenta los sistemas y normas existentes de los que se nutren los esquemas.
Son esquemas europeos de ciberseguridad que se ir谩n aprobando son -en principio- voluntarios. Su seguimiento potencia el Mercado 脷nico Digital de la UE. Sirven para demostrar el cumplimiento de sus requisitos. En algunos casos, a trav茅s de normas de derecho positivo escrito, pueden llegar a ser聽 obligatorios.聽En particular, alguna legislaci贸n ya alude a los esquemas europeos de certificaci贸n de ENISA:
– la Directiva para un alto nivel de ciberseguridad en toda la Uni贸n (NIS2), en especial en lo relativo a entidades que gestionan infraestructuras cr铆ticas,
– la propuesta de Reglamento relativo a la identificaci贸n electr贸nica y los servicios de confianza para las transacciones electr贸nicas en el mercado interior (Reglamento eIDAS) con el Reglamento Wallet/elDAS2
– la propuesta de Reglamento de Ciberresiliencia (CRA), que a帽ade la ciberseguridad a los criterios para obtener el marcado CE en la fabricaci贸n de determinados productos,
– la propuesta de sobre Inteligencia Artificial.
Definici贸n de Esquema europeo de certificaci贸n de la ciberseguridad de la UE: 聽es un conjunto completo de reglas, requisitos t茅cnicos de ciberseguridad, normas y procedimientos de evaluaci贸n, definidos a nivel de la UE y aplicables a la certificaci贸n de productos, servicios o procesos espec铆ficos de TIC.
- Cada certificado de ciberseguridad de la UE acredita que un producto, proceso o servicio de TIC ha superado una evaluaci贸n de conformidad con dicho r茅gimen y que cumple los requisitos y normas de ciberseguridad especificados.
- La certificaci贸n la realiza un organismo de evaluaci贸n de la conformidad (OEC/CAB), que puede auditar y/o probar y/o certificar. Todos los certificados ser谩n publicados por ENISA en un sitio web espec铆fico.
- Dependiendo del riesgo de ciberseguridad asociado al uso previsto de la soluci贸n TIC que se va a certificar, se puede elegir un nivel de ciberseguridad diferente que el solicitante define. Cada esquema indica si la certificaci贸n tiene un nivel de garant铆a 芦b谩sico禄, 芦sustancial禄 o 芦alto禄
Los primeros EEC::
- EUCC. El Esquema Europeo de Certificaci贸n de Ciberseguridad sobre Criterios Comunes, el primer esquema, se dirige a las TIC, tales como productos y componentes de hardware y software. El 31 de enero de 2024, la Comisi贸n Europea aprob贸 el acto de ejecuci贸n por el que se pone en marcha el sistema de certificaci贸n. ENISA est谩 publicando los documentos de referencia que respaldan el sistema y que se enumeran en su Anexo 1.
A continuaci贸n:
- EUCS El Esquema Europeo de Certificaci贸n de Servicios en la Nube聽 se encuentra en tr谩mite de an谩lisis por parte del ECCG.
- EU5G El Esquema Europeo de Certificaci贸n de Ciberseguridad para 5G se desarrolla en dos fases. Durante una primera fase que finaliz贸 en oto帽o de 2022, ENISA, los expertos reunidos en un grupo de trabajo ad hoc con la Comisi贸n de la UE y los Estados miembros analizaron las evaluaciones industriales existentes y los esquemas de certificaci贸n y sus actualizaciones necesarias para cumplir con la Ley de Ciberseguridad. La segunda fase se abre con una consulta p煤blica
- 驴Inteligencia Artificial? Con vistas a la adopci贸n del proyecto de Reglamento de la UE sobre Inteligencia Artificial, ENISA est谩 evaluando si la IA podr铆a ser objeto de certificaci贸n en materia de ciberseguridad y de qu茅 manera, as铆 como el modo en que podr铆an reutilizarse los esquemas en curso de elaboraci贸n. Este trabajo es preparatorio, ya que ENISA no ha recibido una solicitud para desarrollar un esquema de certificaci贸n por parte de la Comisi贸n Europea
Arquitectura en la elaboraci贸n y utilizaci贸n de los EEC
- Comisi贸n Europea La iniciativa de elaborar un EECC es de la Comisi贸n Europea que lo plantea a ENISA. ENISA, una vez que tiene una propuesta, la remite a la Comisi贸n quien la adopta a trav茅s de legislaci贸n administrativa, Reglamentos de Ejecuci贸n
- ENISA. La elaboraci贸n corresponde a ENISA que act煤a como coordinadora y anfitriona de grupos de trabajo
- Partes interesadas y p煤blico general Al desarrollar los esquemas de ciberseguridad de la UE, ENISA trabaja con una amplia variedad de partes interesadas en la ciberseguridad. Por ejemplo, las partes interesadas pueden formar parte del 芦grupo de trabajo ad hoc禄 de expertos que apoya a la ENISA en el desarrollo de un determinado esquema. Asimismo, es posible invitar a las partes interesadas a participar en proyectos piloto o 芦pruebas de concepto禄 para poner a prueba algunos o m谩s elementos de un r茅gimen de la UE (por ejemplo, viabilidad, posibles procedimientos o procesos o m茅todos de evaluaci贸n) antes de su aplicaci贸n. Por otro lado, cuando un esquema se encuentra en una fase avanzada de desarrollo, tambi茅n puede haber consultas p煤blicas, por ejemplo sobre proyectos de reg铆menes. Una vez implantado, el sistema debe actualizarse y adaptarse a los cambios que se produzcan en el entorno de la ciberseguridad. Los procesos, procedimientos y m茅todos de evaluaci贸n deben mantenerse, evaluarse y revisarse聽 y en estos procesos tambi茅n participan las partes interesadas por invitaci贸n de ENISA.
- Entrada en vigor: Para ser efectivo, un proyecto de esquema elaborado por ENISSA a petici贸n de la Comisi贸n debe ser aprobado por un acto legislativo de la UE , 芦acto de ejecuci贸n禄 y en 茅l se establece un periodo para que los Estados miembros preparen el funcionamiento del sistema antes de expedir los certificados.
- Organismos de Evaluaci贸n de la Conformidad (OEC/CAB) .Los OEC/CAB que estar谩n acreditados para emitir certificados o realizar actividades de evaluaci贸n (ensayos, auditor铆as) para estos esquemas.. Los sistemas de certificaci贸n de ciberseguridad crean un mercado europeo para organismos de evaluaci贸n de la conformidad (OEC/CAB ) que podr谩n ofrecer sus servicios de certificaci贸n as铆 como herramientas y servicios de evaluaci贸n relacionados en toda la UE. Estos OEC/CAB trabajar en los esquemas de certificaci贸n de la UE de dos formas distintas: como evaluadores (mediante auditor铆as/ensayos) y/o como certificadores. Deben cumplir una serie de requisitos antes de poder realizar tales actividades:
– Para poder evaluar y certificar de acuerdo con los reg铆menes de certificaci贸n de la UE, los OEC deber谩n estar acreditados por su organismo nacional de acreditaci贸n.
– Una vez acreditados para un esquema europeo de certificaci贸n de la ciberseguridad, la Autoridad Nacional de Certificaci贸n de la Ciberseguridad (ANC) deber谩 notificar su acreditaci贸n a la Comisi贸n.
– Si un OEC quiere ser elegible para certificar una soluci贸n TIC bajo el nivel de garant铆a 芦alto禄, puede necesitar cumplir requisitos adicionales. El procedimiento para cumplir estos requisitos lo realiza la ANC y se denomina 芦autorizaci贸n禄. Esta 芦autorizaci贸n禄 tambi茅n debe notificarse a la Comisi贸n. - Usuarios de los certificados Los certificados de ciberseguridad de la UE se conceden a productos y servicios TIC certificados con arreglo a los reg铆menes de certificaci贸n de ciberseguridad de la UE. Demuestran que las soluciones probadas son resistentes a determinados niveles de seguridad y establecen procesos de reparaci贸n teniendo en cuenta los 煤ltimos avances del estado de la t茅cnica. Como est谩n reconocidos en toda la UE permiten a los proveedores de productos y servicios mostrar la conformidad de su soluci贸n con un esquema espec铆fico, nivel de garant铆a, 谩mbito de aplicaci贸n y, potencialmente, extensi贸n o perfiles de seguridad. Los usuarios de soluciones TIC pueden considerar los certificados de ciberseguridad como una demostraci贸n de que una soluci贸n espec铆fica cumple los requisitos de seguridad definidos.
- Autoridades Nacionales de Certificaci贸n en Ciberseguridad ( ANC). Como exige la Directiva sobre Ciberseguridad, cada Estado miembro ha designado una ACNC que se responsabilizar谩 de supervisar, acreditar y controlar la certificaci贸n de ciberseguridad de la UE a nivel nacional y de intercambiarla a nivel de la UE. Cada Estado miembro puede optar por expedir certificaciones de conformidad de ciberseguridad de la UE. Las Autoridades Nacionales de Certificaci贸n en Ciberseguridad (芦ANC禄) supervisan y controlan el cumplimiento del r茅gimen de los certificados expedidos por las OEC en su Estado miembro.
- Sistemas nacionales. Cada sistema de certificaci贸n de ciberseguridad de la UE prev茅 un periodo de transici贸n tras el cual los sistemas nacionales pertinentes dejan de tener efecto.
En otras palabras, los certificados expedidos en virtud de estos reg铆menes dejan de ser v谩lidos. Para garantizar una aplicaci贸n sin problemas, la transici贸n de los reg铆menes existentes a los reg铆menes de la UE se lleva a cabo en estrecha colaboraci贸n con todas las partes interesadas; por ejemplo, se elaborar谩n orientaciones para los organismos de certificaci贸n de ciberseguridad que operan con reg铆menes nacionales. Por lo tanto, los OEC no deben interrumpir sus actividades relacionadas con los reg铆menes existentes. - Duraci贸n.聽Los certificados son v谩lidos durante un tiempo limitado que puede ampliarse mediante una nueva evaluaci贸n de la soluci贸n.
- Certificaci贸n la certificaci贸n es voluntaria, a menos que la normativa de la UE o de los Estados miembros especifique lo contrario.
Investigaci贸n financiada por el proyecto nacional PID2021-127527OB-I00,聽Proyectos de Generaci贸n de Conocimiento 2021,聽Modalidades: Investigaci贸n No Orientada e Investigaci贸n Orientada