En consonancia con la Ley de Ciberseguridad de la UE, se acaba de adoptar el primer sistema de certificación de ciberseguridad que ofrece un conjunto de normas y procedimientos sobre cómo certificar productos tecnológicos “para hacerlos más confiables para los usuarios” y como parte de los esfuerzos para impulsar la ciberseguridad de los productos y servicios de TI en todos los estados miembros.
Desde la comisión europea explican que este sistema, de carácter voluntario, complementará la Ley de Resiliencia Cibernética (Cyber Resilience Act) que introduce requisitos vinculantes de ciberseguridad para todos los productos de hardware y software en la UE. “Además, el plan también impulsará la implementación de la Directiva NIS2”, aseguran.
Junto con la publicación del sistema de certificación en el Diario Oficial, la Comisión también publicará el primer programa de trabajo continuo de la Unión para la certificación europea de ciberseguridad. El esquema adoptado se basa en borradores preparados por la Agencia de Ciberseguridad de la Unión Europea (ENISA) en estrecha cooperación con expertos de la industria y los Estados miembros, después de debates técnicos y legales, así como de consultas públicas.
El nuevo sistema de certificación, o EU Cybersecurity Certification Scheme (EUCC) propone dos niveles de garantía basados en el nivel de riesgo asociado con el uso previsto del producto, servicio o proceso. Este nivel de riesgo se calcula en función de la probabilidad y el impacto de un accidente. Sus requisitos se basan en el marco de evaluación de Criterios Comunes SOG-IS que ya se utiliza en 17 Estados miembros de la UE.
