La Agencia de la Ciberseguridad de la Unión Europea (ENISA) ha habilitado una consulta pública de un mes para crear el primer candidato a esquema de certificación de ciberseguridad. Se trata del Esquema de Certificación de Ciberseguridad Europeo basado en Common Criteria (EUCC, por sus siglas en inglés). El esquema tiene como objetivo reemplazar los esquemas existentes que operan bajo SOG-IS MRA para productos TIC y agregar nuevos elementos. Además, prevé extender su alcance para abarcar a todos los Estados miembros de la UE.
Asimismo, la consulta pública permite a las partes interesadas proporcionar comentarios sobre el borrador de este candidato a esquema EUCC. En concreto, esta consulta, que será compartida posteriormente, permanecerá abierta aquí hasta el próximo 31 de julio.
Certificación de ciberseguridad EUCC
Este nuevo esquema de certificación de ciberseguridad tiene como objetivo mejorar aún más las condiciones del mercado interior de la Unión Europea para los productos TIC, y afecta positivamente los servicios y procesos TIC que dependen de dichos productos.
El primer grupo de trabajo ad hoc para este esquema, el EUCC AHWG, fue creado a fines del año pasado por ENISA. El grupo está compuesto por 20 miembros designados que representan a la industria y 12 participantes de los Estados miembros y organismos de acreditación.
Estas son las principales características del candidato a esquema EUCC:
- Basado en el actual SOG-IS MRA y Common Criteria con reglas incluidas para la transición.
- Aplicable a productos TIC.
- Cubre los niveles de aseguramiento “Sustancial” y “Alto”.
- La validez del certificado, que es por cinco años, puede renovarse
- Permite la certificación compuesta.
- Reconocimiento en todos los Estados miembros de la UE.
- Esquema voluntario.
- Condiciones armonizadas para el manejo y divulgación de vulnerabilidades.
- Reglas claramente definidas sobre monitorización y manejo de incumplimiento y no conformidad.
- Introduce un nuevo mecanismo de administración de parches para soportar el manejo de vulnerabilidades.
El EUCC es el primer candidato a esquema, pero actualmente se está preparando también un segundo relacionado con la certificación de servicios en la nube.
Archivado en: