El sistema ofrece un conjunto de normas y procedimientos a escala de la Unión sobre cómo certificar productos de TIC en su ciclo de vida y así hacerlos más confiables para los usuarios.
La Comisión Europea (CE) adoptó el pasado 31 de enero el primer sistema europeo de certificación de ciberseguridad sobre criterios comunes (EUCC), en consonancia con la Ley de Ciberseguridad de la UE.
El sistema, según explican desde la CE, ofrece un conjunto de normas y procedimientos a escala de la Unión sobre cómo certificar productos de TIC en su ciclo de vida y así hacerlos más confiables para los usuarios.
El plan se publicará en breve en el Diario Oficial de la UE y entrará en vigor 20 días después de su publicación. Junto con la publicación del sistema de certificación en el Diario Oficial, la Comisión también publicará el primer programa de trabajo continuo de la Unión para la certificación europea de ciberseguridad.
Este documento establece una visión estratégica y reflexiones sobre posibles áreas para futuros esquemas europeos de certificación de ciberseguridad, considerando los recientes desarrollos legislativos y de mercado.
Habrá un período de transición
Según lo dispuesto en la Ley de Ciberseguridad de 2019, el nuevo sistema se encuadra en el marco de certificación de ciberseguridad de la UE. El objetivo de este marco era elevar el nivel de ciberseguridad de los productos, servicios y procesos de TIC en el mercado de la UE.
Para ello, establece un conjunto completo de normas, requisitos de normas técnicas, normas y procedimientos que se aplicarán en toda la Unión, aunque inicialmente se prevé un período de transición durante el cual las organizaciones aún podrán beneficiarse de las certificaciones existentes en el marco de sistemas nacionales en determinados Estados miembros.
EUCC reemplazará los esquemas de certificación nacionales
El nuevo esquema EUCC, de carácter voluntario, permite a los proveedores de TIC que deseen presentar pruebas de garantía pasar por un proceso de evaluación comúnmente entendido en la UE para certificar productos de TIC, como componentes tecnológicos (chips, tarjetas inteligentes), hardware y software.
Según avanzan desde las instituciones comunitarias, «con el tiempo, EUCC reemplazará los esquemas de certificación nacionales que anteriormente estaban bajo el acuerdo SOG-IS«.
El plan voluntario complementará la Ley de Resiliencia Cibernética, que introduce requisitos vinculantes de ciberseguridad para todos los productos de hardware y software en la UE. «Este importante paso contribuye a fomentar el liderazgo digital global de Europa, y, además, el plan también impulsará la implementación de la Directiva NIS2«, resaltan desde la Comisión Europea.
Otros esquemas de certificación de ciberseguridad
La Agencia de la Unión Europea para la Ciberseguridad (ENISA) está trabajando actualmente en dos esquemas de certificación de ciberseguridad más, EUCS sobre servicios en la nube y EU5G sobre seguridad 5G.
La Agencia también ha emprendido, entre otros, un estudio de viabilidad sobre los requisitos de certificación de ciberseguridad de la UE para la IA. Y, más recientemente, la Comisión Europea propuso una enmienda a la Ley de Ciberseguridad que prevé un esquema para servicios de seguridad gestionados (MSSP).
