Este artículo de preguntas y respuestas sobre la EUCC se basa en una entrevista realizada a Javier Tallón (Director en jtsec, an Applus+ company) durante el seminario web de Applus+ Laboratories sobre el esquema EUCC, celebrado en octubre de 2024. José Manuel Pulido (Director de Consultoría en jtsec, an Applus+ company) respondió a las preguntas relacionadas con la CRA. La entrevista fue realizada por José Francisco Ruiz (Cybersecurity Business Unit Director de Applus+ Laboratories).
P: ¿Por qué es todo (la implantación de EUCC/CSA/CRA) tan complejo tras cinco años de desarrollo?
R: Javier Tallón: La complejidad se debe a varios factores. En primer lugar, se trata del primer esquema de la Ley de Ciberseguridad, y no había experiencia previa sobre cómo desarrollar este tipo de esquemas. El proceso de desarrollo también coincidió con la pandemia COVID-19, lo que aumentó los retos. Además, la introducción de la Ley de Ciberresiliencia (CRA) exigió que el plan cumpliera con la nueva normativa. A pesar de estos retos, todos los implicados, desde la Comisión Europea hasta ENISA y los miembros del Grupo de Trabajo ad hoc, se esforzaron por mantener un alto nivel de calidad. La transición de extensos documentos técnicos a un texto jurídico conciso fue un reto importante, e inevitablemente se omitieron muchos detalles. La carga de seguir desarrollando el sistema recae ahora en el subgrupo de mantenimiento de la EUCC de la EsEm, que puede disponer de menos recursos y revisar debates de hace años.
P: ¿Se reconocerán en el esquema EUCC los productos previamente certificados por Common Criteria?
R: Javier Tallón: Los certificados seguirán siendo válidos hasta su fecha de caducidad, y los Estados miembros pueden reconocer los certificados emitidos por terceros países. Durante los debates del Grupo de Trabajo Ad Hoc, estaba prevista una guía para la conversión, pero aún no se ha publicado. Técnicamente, la conversión de certificaciones no debería ser un gran problema, ya que ambos esquemas se basan en Criterios Comunes. Sin embargo, la falta de un documento orientativo publicado ha creado incertidumbre en el mercado.
P: ¿Cómo aborda el esquema EUCC tecnologías emergentes como los servicios en la nube o el IoT?
R: Javier Tallón: El sistema EUCC es independiente de la tecnología y puede certificar cualquier producto que pueda identificarse de forma única. Los productos IoT no son un problema, pero la computación en nube presenta más dificultades debido a su complejidad. Aunque el esquema EUCC puede aplicarse a los productos en la nube, no siempre es el más adecuado. Otros regímenes, como el EUCS, que se refiere específicamente a los servicios en la nube, podrían ser más apropiados. La clave es ser flexible y encontrar formas de combinar estos regímenes.
P: ¿Cuál es la situación de los acuerdos de reconocimiento mutuo?
R: Javier Tallón: Los acuerdos de reconocimiento mutuo son más una cuestión política que técnica. Hay desajustes a muchos niveles, y aunque la Comisión Europea está intentando establecer este tipo de acuerdos, la actual propuesta del CCRA no es aceptable desde el punto de vista jurídico. Técnicamente, el 80% del trabajo es el mismo, ya que ambos esquemas se basan en Criterios Comunes. Los grandes laboratorios como A+ pueden emitir tanto certificados EUCC como NIAP para el mismo producto, siempre que dispongan de las autorizaciones necesarias.
P: ¿Cuál es la situación de los certificados de sitio y su reutilización en el esquema EUCC?
R: Javier Tallón: En el marco del esquema EUCC, la emisión de nuevos certificados de emplazamiento no está permitida según la normativa vigente. Sin embargo, existen opciones para reutilizar los certificados de emplazamientos existentes, como utilizar los informes STAR o seguir la metodología de reutilización ALC publicada por el esquema francés, que podría convertirse en un documento de vanguardia en el futuro. Se espera que los aspectos técnicos se ajusten a los requisitos legislativos, garantizando la viabilidad del esfuerzo de reutilización.
P: ¿Cómo afectará la CRA al sector de los pagos, incluidas las tarjetas inteligentes y los terminales?
R: José Manuel Pulido: Las tarjetas de crédito, que son esencialmente tarjetas inteligentes, tendrán sus plataformas IC de seguridad y sistemas operativos certificados bajo la EUCC. Sin embargo, las aplicaciones de pago de estas tarjetas no están actualmente obligadas a someterse a evaluaciones de Criterios Comunes o EUCC, por lo que podría ser necesario utilizar otros métodos de evaluación para demostrar la conformidad de esta aplicación con los Criterios Comunes. En cuanto a los terminales de pago, como los dispositivos de punto de interacción, se espera que se certifiquen con arreglo a la EUCC utilizando los perfiles de protección pertinentes. Las partes back-end del sector de pagos, que pueden considerarse soluciones de procesamiento de datos a distancia, necesitarán más aclaraciones sobre sus requisitos de conformidad.
P: ¿Cuál es la categoría de productos CRA para dispositivos móviles?
R: José Manuel Pulido: Los dispositivos móviles no entran en las categorías de críticos o importantes; se consideran productos por defecto. Sin embargo, componentes individuales como el sistema operativo pueden entrar en la categoría de importantes y deben cumplir los requisitos de la CRA. El producto completo, como un smartphone o una tableta, no se incluye actualmente en las categorías de crítico o importante.
P: ¿Está sujeto a la CRA el software libre utilizado para desarrollar o configurar un chip?
R: José Manuel Pulido: Si el código de fuente abierta se utiliza en un producto comercial, cuenta como parte del producto que debe cumplir los requisitos de la CRA. Los proyectos puros de código abierto tienen un estatus más complejo, pero en general, si forman parte de una transacción comercial, tienen que cumplir.
P: ¿Se exigirá a los productos críticos e importantes de clase 1 y 2 de la CRA que se certifiquen conforme a la EUCC high aunque no existan documentos de estado de la técnica?
R: José Manuel Pulido: No hay ningún requisito obligatorio para ninguna certificación EUCC bajo la CRA. El reglamento puede evolucionar con futuros actos de ejecución, pero por ahora, los productos críticos son los principales candidatos a la certificación obligatoria. El requisito de certificación de alto nivel en virtud de la EUCC para los productos críticos e importantes de las clases 1 y 2 dependerá de cómo evolucionen en el futuro el reglamento y los actos delegados.
P: ¿Cuál es el principal reto para que el sistema EUCC sea operativo?
R: Javier Tallón: El principal reto a corto plazo es evitar la perturbación del mercado. Es crucial garantizar que la transición al régimen EUCC no rompa los procesos existentes. A medio plazo, hay que centrarse en llegar al usuario final y aportar un valor real. Es importante ver si los ciudadanos europeos elegirán productos certificados por el sistema EUCC en lugar de otros.
Applus+ utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas o rechazar su uso. Para más información, consulta nuestra Política de Cookies.
Permiten el funcionamiento de la web, cargar contenido multimedia y proteger su seguridad. Consulta las cookies que almacenamos en nuestra Política de cookies.
Nos permiten conocer cómo interactúas con la web, el número de visitas en las diferentes secciones y establecer estadísticas para mejorar nuestras prácticas comerciales. Consulta las cookies que almacenamos en nuestra Política de cookies.