EUCC: Hacia un nuevo sistema de Common Criteria

18/04/2024

    ¿Qué es el EUCC?

    El esquema de certificación de ciberseguridad europeo (EUCC) basado en los Common Criteria se establece bajo del Reglamento de Ejecución (UE) 2024/482 de la Comisión Europea, relacionado con el Reglamento (UE) 2019/881, comúnmente conocido como Cybersecurity Act (CSA).

    El EUCC es el primer régimen creado con arreglo a los requisitos de la CSA. Todavía se están elaborando otros regímenes, en particular el EU5G y el EUCS, y habrá más en el futuro.

    El sistema EUCC tiene por objeto establecer las normas y obligaciones, así como la estructura, para certificar los productos de las tecnologías de la información y la comunicación (TIC). El sistema aprovecha las normas internacionales establecidas, en particular los Common Criteria para la Evaluación de la Seguridad de las Tecnologías de la Información (ISO/IEC 15408) y la Metodología Común de Evaluación (ISO/IEC 18045), y ordena evaluaciones de conformidad por terceros a cargo de ITSEF acreditados.

    Los certificados tendrán una validez máxima de cinco años, a menos que este periodo se prorrogue con la autorización de una NCCA (Autoridad Nacional de Certificación en Ciberseguridad).

     

    Niveles de Aseguramientos del EUCC:

    La EUCC utiliza la familia de evaluación de vulnerabilidades de los Common Criteria (AVA_VAN), componentes 1 a 5. Este componente indicará el nivel de CSA Sustancial y Alto de la siguiente manera:

     

    Perspectivas de la EUCC a tener en cuenta:

    Junto con los cambios introducidos por la EUCC, hay algunos aspectos significativos que deben tenerse en cuenta más allá de las prácticas existentes de los actuales sistemas nacionales de Common Criteria:

    • Gestión de parches: La gestión de parches es el mecanismo que implica la instalación sistemática de actualizaciones (parches) en los productos TIC. El objetivo principal de la gestión de parches es garantizar que los sistemas y aplicaciones estén actualizados y protegidos contra las amenazas y vulnerabilidades de seguridad conocidas, cumpliendo así con el principio de continuidad de la garantía.

      La gestión de parches puede incluirse en el ámbito de evaluación y se evaluará como tal. Estos mecanismos permitirán enviar actualizaciones de seguridad al producto del desarrollador, manteniendo al mismo tiempo el certificado emitido.

      Expertos en ciberseguridad de jtsec (una empresa de Applus+ Laboratories) colaboraron para presentar un trabajo exhaustivo en el que se intenta modelar el mecanismo de gestión de parches en Common Criteria. Consulte la última versión del informe técnico ISO SC27 WG3 "Towards Creating an Extension for Patch Management for ISO/IEC 15408 and ISO/IEC 18045".

     

    • Proceso de gestión de vulnerabilidades: En el marco de la EUCC, las entidades que posean certificados EUCC deben establecer y ejecutar protocolos detallados de gestión de vulnerabilidades.

      Esto implica que el desarrollador genere procesos de supervisión de vulnerabilidades y corrección de fallos y comunique eficazmente los resultados a las partes interesadas.

      Se llevará a cabo una vigilancia del mercado y un seguimiento activo para detectar los productos del mercado que presenten alguna vulnerabilidad que pueda afectar al estado del certificado.

     

    • Información para la certificación:
      • Los solicitantes prepararán y facilitarán públicamente
      • orientaciones y recomendaciones para ayudar a los usuarios finales en la configuración, instalación, despliegue, funcionamiento y mantenimiento seguros de los productos o servicios de TIC;
      • el período durante el cual se ofrecerá apoyo en materia de seguridad a los usuarios finales
      • información de contacto del fabricante o proveedor
      • procedimientos o métodos para recibir información sobre vulnerabilidades de los usuarios finales y los investigadores de seguridad;
      • una referencia a los repositorios en línea en los que se enumeran las vulnerabilidades divulgadas públicamente y los avisos de seguridad relacionados con el producto, servicio o proceso de TIC.

     

    • Documentos sobre el estado de la técnica: Los documentos sobre el estado de la técnica para el cumplimiento de la EUCC se publican en documentos de la ENISA y en los anexos I, II y III del acto de aplicación de la EUCC. Algunos de ellos proceden del sistema de Common Criteria.

     

    ¿Cumple la EUCC las próximas disposiciones de la CRA?

    El esquema EUCC y la Ley de Ciberresiliencia (CRA) trabajan conjuntamente para presentar la conformidad, sin embargo, lograr la adhesión completa a la CRA requiere acciones adicionales en EUCC. Applus+ Laboratories ayuda a ENISA a identificar y analizar la brecha entre las dos normativas y las soluciones de la EUCC para cumplir la CRA. Visita nuestra breve guía sobre la CRA para obtener más información sobre esta normativa de la UE.

    Applus+ Laboratories se encuentra en las fases finales para convertirse en uno de los primeros laboratorios acreditados y autorizados por la EUCC (ITSEF) para los niveles de CSA Sustancial y Alto. Para obtener más información sobre el esquema de certificación EUCC y su relación con los Common Criteria existentes, la Ley de Resiliencia de la Ciberseguridad y los próximos pasos relacionados con las diferentes normativas de ciberseguridad que está implementando la UE, no dude en ponerse en contacto con nosotros.

    Applus+ utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas o rechazar su uso. Para más información, consulta nuestra Política de Cookies. ​

    Panel de configuración de cookies