La ciberseguridad se ha convertido en una prioridad fundamental en la Unión Europea (UE) en los últimos años, y el marco normativo que la regula es una pieza clave para garantizar la protección de los productos tecnológicos que utilizamos en nuestro día a día. La certificación en ciberseguridad no es un proceso sencillo, y a diferencia de las certificaciones para plataformas específicas como Windows o los sistemas en la nube de Amazon AWS o Microsoft Azure, las opciones en esta área suelen ser más amplias y menos directas. En este contexto, la certificación de productos TIC cobra un gran valor.
¿Qué es una certificación de ciberseguridad?
La certificación en ciberseguridad ofrece una garantía formal de que los productos y servicios tecnológicos cumplen con los estándares necesarios para proteger tanto el hardware como el software frente a amenazas. Esto asegura que los ciudadanos puedan confiar en los sistemas que utilizan, desde dispositivos móviles hasta sistemas críticos de infraestructura. En la UE, existe un marco normativo que regula esta certificación de ciberseguridad, compuesto principalmente por el Reglamento (UE) 2019/881 y el Reglamento de ejecución 2024/482.
El marco normativo europeo de ciberseguridad
El Reglamento (UE) 2019/881, conocido también como la Ley de Ciberseguridad, fue aprobado en abril de 2019 y establece un marco para la certificación de ciberseguridad de las tecnologías de la información y las comunicaciones (TIC) en toda la UE. Este reglamento tiene dos objetivos principales:
Garantizar el correcto funcionamiento del mercado interior mediante un sistema unificado de certificación.
Elevar el nivel de ciberseguridad y ciberresiliencia dentro de la Unión, proporcionando mayor confianza a los usuarios y empresas.
Con este marco, se evita la fragmentación del mercado y se facilita el reconocimiento mutuo de certificaciones entre los Estados miembros, reduciendo las barreras al comercio de productos y servicios tecnológicos.
El esquema de certificación europeo
El Reglamento de ejecución 2024/482 establece los detalles del esquema europeo de certificación de ciberseguridad, conocido como EUCC (European Cybersecurity Certification). Este sistema está basado en los Common Criteria, un estándar internacional reconocido que lleva casi 30 años siendo utilizado para certificar productos de seguridad en Europa. Se centra en garantizar que los productos TIC, como sistemas biométricos, cortafuegos, routers, sistemas operativos o dispositivos móviles, cumplen con las medidas de seguridad requeridas para su uso seguro en todo su ciclo de vida.
Además, se aplicará a una amplia gama de productos, incluyendo plataformas de detección y respuesta, almacenamientos cifrados, bases de datos, y tarjetas inteligentes, como las utilizadas en pasaportes electrónicos. Las evaluaciones determinan si un producto alcanza niveles de seguridad básicos, sustanciales o altos, en función de los riesgos asociados a su uso.
¿Es obligatorio el nuevo sistema de la UE?
No. Este nuevo esquema EUCC es de carácter voluntario, pero su tramitación aporta importantes garantías, pues permite a los proveedores de TIC pasar por un proceso de evaluación uniforme para la UE para certificar productos de TIC, como componentes tecnológicos (chips, tarjetas inteligentes), hardware y software.
La importancia de un marco común de certificación
Hasta ahora, los sistemas de certificación de ciberseguridad variaban entre los Estados miembros, lo que generaba riesgos de fragmentación del mercado. Con el marco de certificación europeo, se garantiza que un producto o servicio TIC que sea certificado en un país será reconocido en todos los demás Estados miembros. Esto facilita el comercio transfronterizo y da mayor seguridad a los consumidores, que sabrán que los productos que compran han pasado por evaluaciones uniformes y rigurosas.
Grupos de trabajo y evolución del marco
Para asegurar la correcta implementación de estos sistemas, la UE ha creado el Grupo Europeo de Certificación de Ciberseguridad (ECCG), compuesto por representantes de las autoridades nacionales, y el Grupo de Certificación de Ciberseguridad de las Partes Interesadas (SCCG), que asesora a la Comisión Europea y a ENISA (Agencia de Ciberseguridad de la Unión Europea) sobre el desarrollo y evolución del marco de certificación.
Además, el Programa de trabajo evolutivo de la Unión para la certificación europea de ciberseguridad (URWP) establece las prioridades estratégicas y áreas futuras de trabajo en certificación. Este programa se actualizará regularmente para incorporar nuevas necesidades y retos, como los derivados de la Ley de Resiliencia Cibernética (CRA) y el Reglamento sobre Identidad Digital Europea.
Conclusión
El sistema de certificación de ciberseguridad de la UE es una pieza esencial en la estrategia de la Unión para aumentar la seguridad de los productos y servicios TIC en el mercado europeo. Aunque su aplicación es voluntaria, las garantías que ofrece son significativas, tanto para los proveedores como para los consumidores, ya que proporciona una evaluación uniforme y reconocida en todos los Estados miembros. A medida que el panorama tecnológico y legislativo evoluciona, este marco se actualizará y ampliará, asegurando que la ciberseguridad siga siendo una prioridad en la era digital.
Comments