Esquemas Europeos de Certificación de Ciberseguridad- ENISA_

Posted on por
Spread the love
PDF Button

Los esquemas europeos de certificación de ciberseguridad que impulsa la Agencia de la Unión Europea para la Ciberseguridad (ENISA) son una pieza central del nuevo Derecho de la economía digital en la Unión Europea (UE). No son solo “sellos técnicos”: son instrumentos híbridos, a medio camino entre la normalización técnica y la regulación, que condicionan de forma creciente la contratación, la supervisión sectorial y la responsabilidad de empresas y administraciones públicas.

1. Del mosaico nacional al marco europeo: el Reglamento de Ciberseguridad (Cybersecurity Act)

Mongolfiera

El punto de partida es el Reglamento (UE) 2019/881, conocido como Reglamento de Ciberseguridad (Cybersecurity Act), que hizo de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) una auténtica agencia permanente de ciberseguridad y estableció un marco europeo de certificación de ciberseguridad. Hasta su aprobación, el paisaje europeo era un mosaico de esquemas nacionales, acuerdos como el Acuerdo de Reconocimiento Mutuo Senior Officials Group Information Systems Security (SOG‑IS MRA) y sellos privados difícilmente comparables entre sí. Cada Estado miembro podía exigir o promover sus propios certificados,

El Reglamento de Ciberseguridad (Cybersecurity Act) pretende resolver este problema mediante nuevos procedimientos que permiten que la Comisión Europea, con apoyo técnico de la  ENISA adopte esquemas europeos de certificación de ciberseguridad aplicables a productos, servicios o procesos de tecnologías de la información y la comunicación (TIC). Una vez adoptado un esquema, los certificados emitidos conforme al mismo deben ser reconocidos en todos los Estados miembros, lo que crea un mercado único de certificación y evita duplicidades de pruebas y acreditaciones.

Cada esquema define su ámbito (por ejemplo, productos de tecnologías de la información y la comunicación, servicios de computación en la nube, redes de comunicaciones móviles de quinta generación) y los niveles de aseguramiento (básico, sustancial, alto) con un conjunto de requisitos de seguridad asociados a cada nivel. También determina qué organismos pueden evaluar y certificar (organismos de certificación acreditados, laboratorios) y qué normas de acreditación se aplican (por ejemplo, la norma ISO/IEC  que se designe. El resultado es una arquitectura en la que el legislador europeo fija el marco y los objetivos, y el detalle técnico se construye sobre la base de estándares internacionales y prácticas de evaluación consolidadas.

En principio, la certificación bajo estos esquemas es voluntaria. Sin embargo, el Reglamento prevé que un producto o servicio certificado goce de una presunción de conformidad con los requisitos del esquema, lo que tiene consecuencias muy concretas: puede servir de referencia en licitaciones, ser exigido por reguladores sectoriales o convertirse en estándar de diligencia debida en determinados mercados. De facto, lo que empieza como “voluntario” tiende a convertirse en requisito de mercado o en criterio de supervisión

2. Esquema Europeo de Certificación de Ciberseguridad basado en Common Criteria (EUCC)

Catedral León. Roset
on

El primer esquema adoptado formalmente bajo el Reglamento de Ciberseguridad es el Esquema Europeo de Certificación de Ciberseguridad basado en Common Criteria (EUCC). Su objetivo es unificar a escala europea la certificación de productos de tecnologías de la información y la comunicación que se evaluaban tradicionalmente conforme al estándar internacional Common Criteria (CC), como tarjetas inteligentes, módulos criptográficos, sistemas operativos embebidos o ciertos elementos de infraestructuras de confianza (identidad electrónica, servicios de confianza de firma electrónica).

Antes de este EUCC, estos productos se certificaban en el marco de esquemas nacionales coordinados parcialmente por el Acuerdo de Reconocimiento Mutuo Senior Officials Group Information Systems Security (SOG‑IS MRA), que ahora se ve progresivamente sustituido por un esquema europeo único. El Esquema Europeo de Certificación de Ciberseguridad basado en Common Criteria (EUCC) recoge ese legado, actualiza los requisitos y establece un marco común de evaluación que

  • Define qué categorías de productos pueden certificarse y bajo qué perfiles de protección u objetivos de seguridad.

  • Establece niveles de aseguramiento y requisitos de evaluación asociados a Common Criteria (CC), adaptados al entorno europeo

  • Requiere que los organismos de certificación y los laboratorios estén acreditados conforme a normas armonizadas, garantizando un nivel comparable de calidad en las evaluaciones.

Para juristas y reguladores, EUCC es relevante porque permite a la norma sectorial (por ejemplo, en identidad electrónica, servicios de confianza, sistemas de pago o infraestructuras críticas) remitir a un referente técnico común, en lugar de citar múltiples esquemas nacionales. Además, puede servir de criterio de diligencia: un operador que elige componentes certificados al amparo del EUCC con un nivel de aseguramiento alto podría alegar haber tomado medidas razonables de seguridad; a la inversa, la ausencia de certificación podría ser un indicio de falta de diligencia en determinados contextos. Finalmente, la existencia de un registro europeo de certificados facilita la transparencia y el control para supervisores y contrapartes contractuales.

3. Esquema Europeo de Certificación de Ciberseguridad para Servicios en la Nube (EUCS)

El Esquema Europeo de Certificación de Ciberseguridad para Servicios en la Nube (EUCS) es el gran proyecto en materia de certificación de servicios de computación en la nube, todavía en fase de candidatura y consulta pública, pero ya bien definido en sus líneas maestras. Su razón de ser es evidente: hoy los servicios de computación en la nube son infraestructura básica para entidades financieras, aseguradoras, plataformas de negociación, administraciones públicas, sistemas sanitarios, etc., pero los requisitos de seguridad que se les exigen están fragmentados entre normas nacionales, guías de supervisores y esquemas privados.

Museo San Matteo. Pisa

El EUCS aspira a convertirse en el lenguaje común europeo para estos servicios. Define categorías de servicios (infraestructura como servicio, plataforma como servicio, software como servicio) y niveles de aseguramiento (básico, sustancial, alto), con un conjunto de requisitos asociados a cada nivel. Entre esos requisitos se incluyen controles sobre: Gestión de identidades y accesos, autenticación robusta y segregación de funciones; cifrado en tránsito y en reposo, gestión de claves, registros de actividad y monitorización;continuidad de negocio, recuperación ante desastres y gestión de incidentes; seguridad de la cadena de suministro y de la subcontratación (subencargados de tratamiento y otros proveedores).

Desde la óptica jurídica, resulta especialmente relevante cómo el EUCS integra cuestiones que trascienden la técnica pura. Uno de los debates centrales gira en torno a la localización de datos y las transferencias internacionales: lugar de almacenamiento y procesamiento, jurisdicciones aplicables y condiciones de acceso por autoridades de terceros países. Todo ello conecta directamente con el Reglamento general de protección de datos (RGPD), con la Directiva (UE) 2022/2555 sobre medidas para un nivel elevado común de ciberseguridad en la Unión (NIS2) y con normativas sectoriales que condicionan el uso de la nube en sectores críticos.

Si el EUCS se adopta en los términos previstos, es previsible que se convierta en referencia para los requisitos de contratación pública de servicios en la nube (por ejemplo, exigir un nivel “alto” para determinados datos o procesos críticos); expectativas de supervisores financieros, sanitarios o de otros sectores críticos respecto del uso de la nube por sus entidades supervisadas; cláusulas contractuales entre proveedores de servicios en la nube y clientes corporativos en toda la Unión Europea.

4. Esquema Europeo de Certificación de Ciberseguridad para redes 5G

El tercer gran eje es el futuro Esquema Europeo de Certificación de Ciberseguridad para reds 5G, que la Comisión Europea ha encargado a la  ENISA en el marco de la estrategia de seguridad de redes 5G y de la denominada “caja de herramientas 5G” (5G Toolbox). Las redes de comunicaciones móviles de quinta generación (5G) constituyen la base tecnológica de servicios industriales, vehículos conectados, ciudades inteligentes y numerosas aplicaciones de misión crítica.

Este Esquema Europeo de Certificación de Ciberseguridad para redes 5G tiene como finalidad evaluar de forma sistemática la seguridad de equipos, software y arquitecturas de red 5G, incluidas funciones virtualizadas y segmentación de red (network slicing); abordar riesgos derivados de la cadena de suministro, donde intervienen múltiples fabricantes y desarrolladores, algunos potencialmente calificados como proveedores de “alto riesgo”; proporcionar a los Estados miembros y a los operadores de redes públicas un instrumento común para comparar la robustez de diferentes soluciones y proveedores

Este esquema se sitúa en el corazón del debate sobre infraestructuras críticas, soberanía tecnológica y dependencia de terceros países. La certificación al amparo del Esquema Europeo de Certificación de Ciberseguridad para redes 5G no sustituye a decisiones políticas (por ejemplo, restricciones a ciertos proveedores), pero aporta una base técnica más uniforme para justificarlas y para diseñar obligaciones de seguridad reforzadas.

5. Implicaciones jurídicas

Estos esquemas son normas regulatorias “de segundo nivel”. El Reglamento de Ciberseguridad crea un marco general y habilita la adopción de esquemas técnicos que, sin ser leyes formales, tienen efectos normativos muy intensos: introducen presunciones de conformidad, son citados por otras normas y condicionan la práctica contractual.

La existencia o ausencia de certificación bajo esquemas como los mencionados puede influir en la apreciación de la diligencia exigible a fabricantes, proveedores de servicios y usuarios industriales. Un nivel “alto” de aseguramiento no es solo un argumento comercial, sino un elemento que puede entrar en la valoración jurídica ex ante (deber de cuidado) y ex post (juicios de culpa).

Estos esquemas de certificación se entrecruzan con la protección de datos (Reglamento general de protección de datos), con la seguridad de redes y sistemas (Directiva NIS2), con la regulación financiera, sanitaria o de infraestructuras críticas y, cada vez más, con la contratación pública, donde los pliegos comienzan a remitir a niveles concretos de certificación.

Finalmente, estos esquemas ilustran cómo, en el entorno digital, la confianza no se construye solo con normas generales, sino con arquitecturas jurídico‑técnicas complejas, en las que el Derecho, los estándares y la evaluación independiente caminan juntos.