Este artículo se basa en la presentación de Nuria Carrió (Cybersecurity Certification Technical Manager en Applus+ Laboratories) durante el seminario web sobre el esquema EUCC organizado por Applus+ Laboratories en octubre de 2024.
El esquema EUCC (European Common Criteria-based Cybersecurity Certification), desarrollado en el marco de la Ley de Ciberseguridad (CSA), tiene como objetivo armonizar la certificación de ciberseguridad en toda Europa. Este artículo profundiza en los aspectos clave del esquema EUCC, sus diferencias con el anterior esquema CCRA/SOGIS y sus implicaciones para los fabricantes y las partes interesadas.
Ámbito de aplicación y continuidad
El esquema EUCC se aplica a todos los productos TIC y perfiles de protección, manteniendo el mismo ámbito de aplicación que los anteriores esquemas de criterios comunes (CCRA y SOG-IS). La metodología básica de evaluación sigue basándose en criterios comunes, con la versión 2022 integrada en el proceso EUCC. El sistema sigue funcionando en un escenario de evaluación por terceros, en el que participan organismos de certificación (OC) e instalaciones de evaluación (ITSEF). Cabe destacar que la EUCC permite la existencia de organismos de certificación privados, con lo que se amplía el número de organismos de certificación públicos.
Partes interesadas y plazos
Las principales partes interesadas en el sistema EUCC son los organismos nacionales de acreditación, las Autoridades Nacionales de Certificación en Ciberseguridad (ANCC), las entidades de certificación y los ITSEF. Las NCCA desempeñan un papel crucial en la supervisión y autorización de altos niveles de garantía. El esquema EUCC entró en vigor en febrero de 2024, con un periodo de coexistencia de un año con los esquemas nacionales de criterios comunes. En febrero de 2025, todas las nuevas evaluaciones deberán adherirse al esquema EUCC, y las evaluaciones en curso deberán concluir en febrero de 2026.
Nuevas obligaciones y requisitos
Los fabricantes deben facilitar el uso previsto y un análisis de riesgos de sus productos, garantizando la idoneidad del nivel de garantía seleccionado. El esquema EUCC introduce obligaciones específicas, incluidos compromisos generales, disponibilidad de información complementaria sobre seguridad y actividades de supervisión. Los fabricantes deben informar sobre vulnerabilidades e irregularidades, con un plazo de 30 días para medidas correctoras en caso de incumplimiento.
Documentos de última generación y reconocimiento mutuo
El sistema EUCC se basa en documentos del estado de la técnica para los métodos de evaluación, las herramientas y los requisitos de seguridad, así como los requisitos pertinentes para la certificación. Estos documentos son obligatorios e incluyen la acreditación y los ámbitos técnicos de las tarjetas inteligentes y los requisitos de las cajas de seguridad de hardware. Aunque no hay reconocimiento mutuo de terceros países, los países no pertenecientes a la UE pueden reconocer las certificaciones de la EUCC si cumplen criterios específicos. Se están realizando esfuerzos para armonizar los cambios y establecer nuevos acuerdos de reconocimiento.
Perfiles de protección y niveles de garantía
Los perfiles de protección del esquema EUCC deben estar certificados por organismos públicos y avalados por el Grupo Europeo de Certificación en Ciberseguridad. El esquema admite niveles de garantía elevados (EAL4 y EAL5) para productos TIC críticos, con escenarios específicos descritos para su aplicación. La EUCC también impone un proceso de gestión de vulnerabilidades para garantizar la continuidad, lo que exige a los fabricantes que controlen y gestionen eficazmente las vulnerabilidades.
Gestión de parches y marcado
El esquema de la EUCC incluye disposiciones para la gestión de parches, lo que permite a los fabricantes actualizar los productos sobre el terreno. El proceso implica el desarrollo y la publicación de parches, el establecimiento de mecanismos técnicos para su adopción y la evaluación de su eficacia. Aunque la colocación de la marca EUCC es voluntaria, los fabricantes deben seguir unas normas específicas si deciden hacerlo.
Evolución y retos futuros
El esquema EUCC es un trabajo en curso, con esfuerzos continuos para mantener y actualizar los documentos más avanzados. Se necesitan orientaciones sobre los procesos de supervisión, el reconocimiento de sitios y la interacción con otras normativas como la Ley de Ciberresiliencia (CRA). El esquema pretende evitar la perturbación del mercado y garantizar una transición fluida para los fabricantes y las partes interesadas.
En conclusión, el esquema EUCC representa un paso significativo hacia la armonización de la certificación de ciberseguridad en Europa. Al abordar nuevas obligaciones, mantener las normas más avanzadas y fomentar el reconocimiento mutuo, el EUCC pretende proporcionar un marco sólido para la certificación de productos TIC, garantizando un nivel coherente de ciberseguridad de los productos TIC en toda la región.
Descarga la presentación (en inglés)
Ver video completo (en ingles):
Applus+ utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas o rechazar su uso. Para más información, consulta nuestra Política de Cookies.
Permiten el funcionamiento de la web, cargar contenido multimedia y proteger su seguridad. Consulta las cookies que almacenamos en nuestra Política de cookies.
Nos permiten conocer cómo interactúas con la web, el número de visitas en las diferentes secciones y establecer estadísticas para mejorar nuestras prácticas comerciales. Consulta las cookies que almacenamos en nuestra Política de cookies.