El esquema EUCC: Perspectiva norteamericana (Sesión de Q&A)
El 28 de enero, nuestros expertos participaron en un webinar sobre el esquema EUCC, donde explicaron las diferencias entre los esquemas EUCC y CCRA/SOG-IS.
En la segunda parte de nuestro webinar, nuestros expertos analizaron cómo el esquema EUCC impactará a los proveedores de América del Norte. Lachlan Turner, de Lightship Security, participó en un interesante panel junto con nuestros expertos europeos, Javier Tallon y José Ruiz, abordando preguntas y preocupaciones clave de los clientes norteamericanos sobre el esquema EUCC. A continuación, os presentamos un resumen de los principales temas que se discutieron.
¿Quién necesita la certificación EUCC?
La certificación EUCC no es obligatoria por sí sola, pero puede ser requerida por otras regulaciones, como la Ley de Ciberresiliencia. Los proveedores que anteriormente necesitaban la certificación SOG-IS probablemente necesitarán la certificación EUCC. Además, consideraciones del equipo de marketing y ventas pueden impulsar la necesidad de obtener la certificación EUCC para mantenerse competitivos.
Reconocimiento de certificados CCRA por los Estados Miembros
Los Estados Miembros pueden decidir individualmente reconocer los certificados CCRA durante un período de transición de hasta cinco años. Sin embargo, esta decisión depende de cada Estado Miembro y puede variar.
Transición de NIAP a EUCC
En ausencia de acuerdos de reconocimiento mutuo, los proveedores pueden necesitar obtener certificados separados para NIAP y EUCC. No obstante, gran parte del trabajo de evaluación puede reutilizarse, y los laboratorios más grandes con múltiples ubicaciones pueden facilitar este proceso de manera eficiente.
Diferencias entre las evaluaciones NIAP y EUCC
Aunque el estándar principal sigue siendo el mismo, EUCC introduce nuevas obligaciones, como la gestión y el reporte de vulnerabilidades. Además, el certificado EUCC incluirá niveles específicos de garantía, como AVA_VAN.1.
Requisitos de reporte de vulnerabilidades
Los proveedores deben contar con procedimientos de gestión de vulnerabilidades y reportarlas al ITSEF y al organismo de certificación. Los detalles específicos del proceso de reporte aún se están definiendo, pero incluirán plazos para la notificación y la corrección.
Documentos de última generación
Los documentos de última generación son obligatorios y proporcionan orientación sobre los procesos de evaluación. Estos documentos se actualizan dinámicamente y deben seguirse durante las evaluaciones.
Esta sesión de preguntas y respuestas proporcionó información valiosa sobre el esquema EUCC, ayudando a los proveedores a comprender los requisitos y procesos involucrados. Mantente atento a más actualizaciones y orientación detallada a medida que el esquema EUCC siga evolucionando.
Puedes ver el vídeo a continuación:
