Los sistemas de certificación de ciberseguridad
Un sistema de certificación de ciberseguridad es un conjunto de normas, protocolos y procedimientos establecidos por entidades de reconocida competencia en la materia que evalúan, verifican y certifican la seguridad de las tecnologías de la información y las comunicaciones –STIC-, productos, redes y servicios contra vulnerabilidades y ciberamenazas. Estas certificaciones son importantes porque ofrecen la garantía de que los sistemas informáticos cumplen con ciertos estándares de seguridad, ayudando a proteger la integridad, disponibilidad y confidencialidad de los datos.
Los sistemas de certificación de ciberseguridad se encargan de aspectos como la gestión de la seguridad de la información, la de herramientas de las tecnologías de la información –TI– o la protección de los datos en la nube, entre otros muchos. Obtener una certificación no solo ayuda a mejorar la seguridad, sino que también puede ser un requisito imprescindible para cumplir con la legislación o acceder a licitaciones y concursos.
Un ejemplo de sistema de certificación de ciberseguridad en España es el Esquema Nacional de Seguridad. El ENS establece los principios básicos y requisitos mínimos para una protección adecuada de la información. Está dirigido a la administración pública y a entidades privadas que presten servicios a esta y tiene como objetivo asegurar que la información y los servicios que gestionan se protejan adecuadamente. El ENS cubre aspectos como la gestión de riesgos, la seguridad en las operaciones, la gestión de incidentes de seguridad y la continuidad de negocio, fundamentalmente. Su cumplimiento es obligatorio para todos los sistemas de información de la administración pública en España.
Primer sistema de certificación de ciberseguridad de ámbito europeo
La Comisión Europea adoptó recientemente el primer sistema europeo de certificación de ciberseguridad, en sintonía con la Ley de Ciberseguridad de la UE (2019). El sistema ofrece un conjunto de normativas y protocolos de ámbito europeo sobre cómo certificar los productos TIC para que sean seguros cara al usuario final y a las propias instituciones.
La certificación proporciona un reconocimiento formal de que se puede confiar en que los productos TIC protegerán tanto el hardware como el software utilizados a diario.
La Comisión Europea adoptó la European Union Cybersecurity Certification (EUCC). Se trata de un esquema de certificación a nivel de la UE que establece un conjunto integral de normas, requisitos técnicos de ciberseguridad, estándares y procedimientos de evaluación.
Como primer esquema de certificación de ciberseguridad de la UE que se adopta, se espera que el EUCC allane el camino para los próximos esquemas que están actualmente en preparación. Si bien un acto de ejecución forma parte del acervo comunitario, la legislación de la UE, el marco de certificación de la ciberseguridad es voluntario. Con el tiempo, EUCC reemplazará los esquemas de certificación nacionales.
El plan voluntario complementará la Ley de Resiliencia Cibernética que introduce requisitos vinculantes de ciberseguridad para todos los productos de hardware y software en la UE. Este importante paso contribuye a fomentar el liderazgo digital global de Europa. Además, el plan también impulsará la implementación de la Directiva NIS2.
La Directiva NIS2 es la legislación a escala de la UE en materia de ciberseguridad. Proporciona medidas legales para impulsar el nivel general de ciberseguridad en la UE.
El plan se publicará en breve en el Diario Oficial de la UE y entrará en vigor 20 días después de su publicación. Junto con la publicación del sistema de certificación en el Diario Oficial, la Comisión también publicará el primer programa de trabajo continuo de la Unión para la certificación europea de ciberseguridad. Este documento establece una visión estratégica y reflexiones sobre posibles áreas para futuros esquemas europeos de certificación de ciberseguridad considerando los recientes desarrollos legislativos y de mercado.
¿Qué es la EUCC?
La Ley de Ciberseguridad de 2019 introdujo un nuevo sistema dentro del esquema de certificación de ciberseguridad de la Unión Europea. Este sistema tiene como finalidad mejorar la seguridad cibernética de los productos, servicios y procedimientos tecnológicos en el mercado europeo. Para alcanzar este objetivo, se han establecido normativas, estándares técnicos y procesos que deben seguirse en toda la UE.
El esquema EUCC, que es opcional, ofrece a los proveedores de tecnología de la información y la comunicación (TIC) la oportunidad de demostrar la fiabilidad de sus productos mediante un procedimiento de evaluación reconocido en toda la Unión Europea. Esto abarca la certificación de productos TIC, incluidos elementos tecnológicos (como chips y tarjetas inteligentes), así como hardware y software. Este esquema se sustenta en el marco de evaluación de los Criterios Comunes SOG-IS, que se ha demostrado efectivo y es empleado en 17 países miembros de la UE. Propone dos niveles de garantía, dependiendo del riesgo asociado al uso del producto, servicio o proceso, en cuanto a la probabilidad e impacto de un incidente.
Después de realizar extensas investigaciones y consultas, se diseñó un plan detallado que responde a las necesidades de los estados miembros de la UE. Así, los sistemas de certificación a nivel europeo permiten que las empresas compitan a nivel nacional, europeo e internacional.
En resumen, se espera que esquemas de certificación como el EUCC incentiven a los proveedores a cumplir con los estándares de seguridad cibernética. La EUCC se introduce en el dinámico ámbito de las certificaciones cibernéticas, tal como se analiza en el nuevo informe de ENISA, que observa la evolución de las metodologías y entidades de evaluación en el sector de las TIC. ENISA es la Agencia de la Unión Europea para la Ciberseguridad, encargada de mejorar la ciberseguridad en toda la UE, proporcionando asesoramiento y apoyo en temas de seguridad de las redes e información.
Proceso de adopción y pasos futuros
ENISA, junto con un grupo de trabajo específico, desarrolló el esquema propuesto, incluyendo los estándares de seguridad y métodos de evaluación acordados.
Después, ENISA presentó el borrador del esquema a la Comisión Europea, que lo adoptó mediante un procedimiento establecido, tras recibir el aval del ECCG o Grupo de Cooperación en Ciberseguridad, que es un organismo establecido bajo la Ley de Ciberseguridad de la UE y reúne a representantes de los estados miembros, la Comisión Europea y ENISA. Su objetivo es facilitar la cooperación y el intercambio de información sobre ciberseguridad y políticas de certificación entre los estados miembros, contribuyendo a la creación de un alto nivel común de seguridad de las redes y la información en toda la Unión Europea.
Este acto adoptado establece un periodo de transición que permite a las organizaciones aprovechar las certificaciones nacionales existentes en ciertos países miembros. Los organismos de evaluación de la conformidad interesados en realizar evaluaciones según el EUCC pueden obtener acreditación y notificación. Los proveedores pueden actualizar sus certificaciones SOG-IS a EUCC tras evaluar sus soluciones conforme a los requisitos revisados o adicionales del EUCC.
ENISA será responsable de publicar los certificados EUCC, así como la legislación de implementación y documentos de apoyo en su sitio web dedicado a la certificación. La agencia también ofrece recursos adicionales, incluyendo videos sobre los avances y la implementación del esquema.
Otros esquemas de certificación de ciberseguridad en la UE
ENISA también está desarrollando dos esquemas adicionales de certificación de ciberseguridad: EUCS para servicios en la nube y EU5G para seguridad en 5G. Además, está evaluando la viabilidad de un esquema de certificación para la inteligencia artificial y apoya a la Comisión Europea y a los estados miembros en el desarrollo de una estrategia de certificación para eIDAS/billetera. La billetera eIDAS es una propuesta para crear una identidad digital segura y móvil para ciudadanos y empresas de la UE, permitiendo el acceso y la autenticación seguros en servicios en línea a través de Europa. Forma parte del reglamento eIDAS, que regula la identificación electrónica y los servicios de confianza en la UE.
Recientemente, la Comisión Europea propuso una modificación a la Ley de Ciberseguridad que incluye un esquema para servicios de seguridad gestionados (MSSP). Los Managed Security Service Provider o Proveedor de Servicios Gestionados de Seguridad), se encargan de salvaguardar la seguridad de toda organización. Desde lo más básico como podrían ser antivirus y antispam hasta servicios avanzados de pentesting y hacking ético, consultoría, SIEM, SOC, etc.
