Tras la reciente publicación del primer esquema de certificación de ciberseguridad adoptado en la Unión Europea dentro del marco del Reglamento (UE) 2019/881 (conocido como Cybersecurity Act), la Entidad Nacional de Acreditación (ENAC) anuncia que está en disposición de acreditar a laboratorios de acuerdo a los requisitos del nuevo esquema europeo basado en Common Criteria (EUCC), elaborado por la Agencia de Ciberseguridad de la Unión Europea (ENISA).
El nuevo esquema de la UE tiene como objetivo elevar el nivel de ciberseguridad de los productos, servicios y procesos de TIC en el mercado comunitario. En concreto, este esquema permite a los proveedores del sector que deseen demostrar la seguridad de sus productos TIC, tales como componentes tecnológicos (chips, tarjetas inteligentes), hardware y software, someterse a un proceso de evaluación común de la UE para certificar estos productos.
El esquema es el resultado de un intenso trabajo desarrollado en el seno de ENISA y en el que ENAC ha desempeñado un papel protagonista como miembro de la representación de la European Accreditation (EA); en particular, en el desarrollo de los documentos “Accreditation of ITSEFs for the EUCC Scheme” y “Accreditation of CBs for the EUCC Scheme”.
“Desde 2020, trabajamos en el desarrollo de este esquema de certificación” explica Rosalina Porres, responsable de los esquemas de acreditación en materia de Ciberseguridad en ENAC, quien ha participado en estos trabajos, “primeramente, en la propuesta sobre cuáles deberían ser los requisitos de acreditación para los laboratorios que realizan evaluaciones de productos dentro del esquema EUCC y, actualmente, seguimos trabajando en los requisitos que se deberán aplicar a los certificadores”.
Herramientas para ayudar a los auditores en estas evaluaciones
Adicionalmente, hace unos meses ENAC puso en marcha, a instancias del Centro Criptológico Nacional (CCN). Se trata de un programa piloto que ha permitido iniciar los procesos de evaluación antes de la publicación del esquema. Para este programa, ENAC ha trabajado, junto al CCN, analizando los cambios más importantes que introduce el esquema y se han creado herramientas para ayudar a los auditores en estas evaluaciones. Todo este trabajo desarrollado dentro de este programa piloto ha permitido que, en el momento de aprobación del esquema, ya existan diferentes procesos de evaluación avanzados. Esto ha acortado sensiblemente el tiempo para conceder las primeras acreditaciones y facilitará que la industria española pueda iniciar cuanto antes los procesos de evaluación frente al esquema.
Como primer esquema de certificación de ciberseguridad de la UE que se adopta, se espera que el EUCC allane el camino para los próximos esquemas que están actualmente en preparación, como el de certificación sobre servicios en la nube (EU Certification scheme on Cloud Services, EUCS) y el de certificación para redes móviles 5G (EU 5G scheme).