Entienda la nueva regulación europea sobre la certificación de seguridad
Nuestro Laboratorio de Evaluación de Seguridad de Productos (acreditado en Common Criteria y LINCE) siempre intenta ocuparse de la complejidad de los procesos de certificación y de esta forma hacerlo simple para nuestros clientes. En esa línea, explicaremos en este post qué es el CyberSecurity Act europeo (CSA) y cómo afecta a los esquemas de Certificación de Seguridad.
¿Por qué certificar la seguridad de los productos?
Se hace necesario regular formalmente los procesos de Evaluación de productos de manera que una certificación de un producto signifique algo medible y reproducible respecto a la seguridad del producto que obtiene la certificación. Esta regulación se ha denominado esquema de certificación.
Situación Previa
Previamente al CSA, los países tenían sus propios esquemas de certificación (en España el ENECSTI, a cargo del Organismo de Certificación del CCN). En este marco, los Laboratorios realizaban las Evaluaciones y el Organismo de Certificación era el único con capacidad para emitir los certificados.
La necesidad de reconocer las certificaciones de seguridad entre diferentes países estaba satisfecha mediante diferentes acuerdos, principalmente SO-GIS y CCRA.
El CyberSecurity Act (CSA)
El CSA es un marco legal que regula y unifica los procesos de certificación de seguridad a nivel europeo.
Estas son sus principales claves:
- ENISA (Agencia Europea para la Ciberseguridad) ha sido elegida como el líder para implantar esta regulación y para escribir los diferentes esquemas de certificación de forma acorde con lo establecido en el CSA.
- Esquemas de certificación: como no es posible definir de forma general (para todos los productos y servicios) las necesidades, objetivos y requisitos de ciberseguridad, se definen esquemas específicos para aquellos productos o procesos que comparten las mismas particularidades respecto a la ciberseguridad, siempre teniendo en cuenta que todos los esquemas están regulados por el marco general del CSA:
Los esquemas candidatos hasta el momento, por orden de madurez de implantación, son:
- EUCC (esquema de certificación de seguridad Europeo basado en Common Criteria): es el primer esquema definido y será el sucesor de los esquemas locales Common Criteria que operan bajo el acuerdo SO-GIS. La definición de este esquema es la que está más avanzada, por lo que la explicaremos en un próximo post.
- Cloud Services: en proceso de desarrollo en la fecha de escritura de este post, regulará los esquemas para la certificación de los servicios proporcionados en la nube.
- Otros: se están definiendo nuevos esquemas de certificación candidatos, de aplicación en el corto-medio plazo: ICSS, 5G, etc.
- Nuevos actores: cada esquema puede decidir que algunos certificados, en función del nivel de aseguramiento, puedan ser emitidos por entidades privadas (típicamente los Laboratorios que extiendan su acreditación para ello). Incluso se contempla que determinados esquemas permitan en determinadas circunstancias la autoevaluación de las características de seguridad por el propio Fabricante.
Transición
La entrada en vigor de los nuevos esquemas se espera que comience con el EUCC en la primera mitad de 2021. Con toda probabilidad, los esquemas locales se mantendrán durante un período de coexistencia. El rol de las autoridades de certificación actuales está en proceso de definición; probablemente evolucionará hacia la coordinación/regulación/control de las organizaciones capaces de emitir certificados con niveles de aseguramiento más bajos y la emisión de certificados con niveles de aseguramiento más elevados.
La transición para los Fabricantes será muy suave: es previsible que los certificados ya emitidos mantengan su vigencia. Tanto si lo que necesita es una certificación inmediata como si está planeando una certificación para 2021, el laboratorio de Layakk está preparado para ofrecer los servicios de Evaluación y, dependiendo del nivel de aseguramiento, también certificación. Nuestros servicios se caracterizan siempre por su simplicidad, honestidad, calidad y el mejor precio.
