Nuevo esquema de ciberseguridad adoptado por la UE
La entidad ENAC ya se encuentra en disposición de acreditar a los laboratorios que quieran operar bajo el nuevo esquema europeo, que tiene como objetivo elevar el nivel de ciberseguridad de los productos, servicios y procesos de TIC en el mercado comunitario.
Tras la reciente publicación del primer esquema de certificación de ciberseguridad adoptado en la UE dentro del marco del Reglamento 2019/881 (conocido como Cybersecurity Act), la Entidad Nacional de Acreditación (ENAC) ha anunciado que ya puede acreditar a laboratorios de acuerdo con los requisitos del nuevo esquema europeo basado en Common Criteria (EUCC), elaborado por la Agencia de Ciberseguridad Europea (ENISA). Además, la entidad ha trabajado con el Centro Criptológico Nacional en la preparación de los procesos de evaluación para que el mercado español cuente con laboratorios acreditados en el menor tiempo posible.
El nuevo esquema de la UE tiene como objetivo elevar el nivel de ciberseguridad de los productos, servicios y procesos de TIC en el mercado comunitario. En concreto, este esquema permite a los proveedores del sector que quieran demostrar la seguridad de sus productos TIC, tales como componentes tecnológicos (chips, tarjetas inteligentes), hardware y software, puedan someterse a un proceso de evaluación común de la UE para certificar estos productos.
El objetivo es la certificación comunitaria de la seguridad para las empresas
El esquema es el resultado de un intenso trabajo desarrollado en el seno de ENISA y en el que ENAC ha desempeñado un papel protagonista como miembro de la representación de la European Accreditation. En particular, ha sido muy importante en el desarrollo de los documentos “Accreditation of ITSEFs for the EUCC Scheme” y “Accreditation of CBs for the EUCC Scheme”.
Según explica Rosalina Porres, responsable de los esquemas de acreditación en materia de ciberseguridad en ENAC “Desde 2020, trabajamos en el desarrollo de este esquema de certificación. En primer lugar, en la propuesta sobre cuáles deberían ser los requisitos de acreditación para los laboratorios que realizan evaluaciones de productos dentro del esquema EUCC y, en la actualidad, en los requisitos que se deberán aplicar a los certificadores”.
Adicionalmente, hace unos meses ENAC puso en marcha, a instancias del Centro Criptológico Nacional (CCN), un programa piloto que ha permitido iniciar los procesos de evaluación antes de la publicación del esquema. Para este programa, ENAC y CCN han trabajado conjuntamente, analizando los cambios más importantes que introduce el esquema y se han creado herramientas para ayudar a los auditores en estas evaluaciones. Todo este trabajo desarrollado dentro de este programa piloto ha permitido que, en el momento de aprobación del esquema, existan ya diferentes procesos de evaluación avanzados, lo que ha acortado sensiblemente el tiempo para conceder las primeras acreditaciones.
Como primer esquema de certificación de ciberseguridad de la UE que se adopta, se espera que el EUCC allane el camino para los próximos esquemas que están actualmente en preparación, como son el de certificación sobre servicios en la nube (EU Certification scheme on Cloud Services, EUCS) y el de certificación para redes móviles 5G (EU 5G scheme).
