EUCC (del inglés «European Union» y «Common «Criteria») es el primer esquema europeo de certificación de seguridad de productos TIC que se está definiendo bajo el paraguas del CyberSecurity Act (CSA), tal y como mencionábamos en nuestro anterior artículo dedicado al CSA.
Manteniendo nuestra linea de facilitar las cosas a nuestros clientes lo máximo posible en todo lo relativo a los procesos de certificación de sus productos, a continuación ofrecemos una descripción breve y concisa de las principales características de este nuevo esquema de certificación.
Actualmente (diciembre 2020) está disponible el primer borrador de EUCC y se espera que la versión final sea aprobada a lo largo de 2021.
EUCC está basado en Common Criteria (ISO/IEC 15408 y ISO/IEC 18045) y está destinado a reemplazar los actuales esquemas nacionales de certificación basados también en Common Criteria (en España ENECSTI), que actualmente operan bajo el acuerdo de reconocimiento mútuo SOG-IS MRA.
Su ámbito de aplicación será la certificación de seguridad productos TIC que no correspondan con ningún otro esquema específico (se espera en el futuro contar con esquemas específicos para determinadas tecnologías o mercados concretos, como IoT, servicios en la nube, o las comunicaciones móviles).
NOTA: Como todavía se trata de un borrador, los aspectos que se describen a continuación podrían sufrir modificaciones antes de su aprobación final, por lo que de momento no pueden tomarse como afirmaciones con total seguridad.
Niveles de aseguramiento
EUCC ofrece los dos niveles de aseguramiento más altos definidos en el CSA: «sustancial» y «alto». El nivel «básico» se ha dejado fuera de EUCC, para ser cubierto por otros esquemas de certificación futuros con menores requisitos de seguridad. El nivel de aseguramiento es asignado en base al nivel de aseguramiento seleccionado en la clase AVA (Vulnerability Assessment) de Common Criteria: AVA_VAN.1 y AVA_VAN.2 se consideran nivel «sustancial», mientras que AVA_VAN.3 a AVA_VAN.5 se consideran nivel «alto».
Organismos de certificación
Los certificados podrán ser emitidos por organismos de certificación que tendrán que estar acreditados (ISO/IEC 17065) pero que podrán ser distintos de la autoridad nacional de certificación de seguridad en cada país. No obstante, los certificados de nivel alto sí que tendrán que ser emitidos por la correspondiente autoridad nacional de certificación en ciberseguridad, o por organismos de certificación autorizados por ésta.
Laboratorios de evaluación
La evaluación de la seguridad de los productos la llevarán a cabo laboratorios acreditados (ISO/IEC 17025), que podrán ser internos o externos al organismo de certificación correspondiente. En este punto no hay diferencias relevantes con los esquemas actuales de certificación.
Mantenimiento
Durante la validez de su certificado, los productos estarán sujetos a un proceso de mantenimiento en respuesta a cambios que puedan afectar su certificación. Las actividades de mantenimiento incluirán revisión y toma de decisión por el organismo de certificación, y, cuando sea necesario, evaluación por el laboratorio.
Gestión de vulnerabilidades
EUCC obliga a que las vulnerabilidades que puedan aparecer durante el periodo de vigencia del certificado se gestionen según una versión adaptada de las siguientes normas:
ISO/IEC 30111 : Information technology — Security techniques — Vulnerability handling processes
ISO/IEC 29147 : Information technology — Security techniques — Vulnerability disclosure
Gestión de parches
EUCC incluye la posibilidad de que el fabricante incluya en un mecanismo de gestión de parches para que sea también analizado durante la certificación del producto. De esta manera posteriormente podrá seguir dicho mecanismo para mantener su producto siempre parcheado ante posibles vulnerabilidades que se pudieran detectar, manteniendo su condición de producto certificado.
Periodo de transición
EUCC recomienda un periodo de transición de 2 años entre la fecha de entrada en vigor de EUCC y el momento en que dejen de estar activos los esquemas actuales basados en el acuerdo SOGIS, de manera que no se produzca interrupción en el servicio. Durante ese periodo transitorio los fabricantes deberán familizarizarse con, y adoptar, los nuevos requisitos que impone EUCC (mantenimiento obligatorio, gestión de vulnerabilidades y gestión de parches). Los laboratorios y organismos de certificación también deberán utilizar ese periodo de transición para adaptar su actividad al nuevo marco.
Como decimos, todavía se trata de un borrador, por lo que los aspectos descritos todavía podrían sufrir modificaciones antes de su aprobación final, pero el borrador se considera muy avanzado y no se preveen grandes cambios sobre el mismo, por lo que recomendamos a los fabricantes que se vayan familiarizando con los nuevos requisitos que EUCC impondrá para la certificación de sus productos.
