La Unión Europea ha reforzado su esquema de certificación de ciberseguridad, el EUCC (Esquema Europeo de Certificación de la Ciberseguridad), con la publicación del Reglamento de Ejecución (UE) 2024/3144. Este reglamento introduce modificaciones importantes al anterior Reglamento de Ejecución (UE) 2024/482, afectando directamente a las entidades de certificación EUCC, que desean operar como organismos de certificación bajo este esquema.
Un aspecto crucial para las organizaciones que buscan su reconocimiento como entidades de certificación (CB) dentro del EUCC es el cumplimiento de criterios de acreditación específicos. Según la nueva normativa, la acreditación de los organismos de evaluación tendrá en cuenta los requisitos ya establecidos en los documentos del estado de la técnica detallados en la revisión modificada del anterior reglamento.
Modificaciones del reglamento
Así pues, el nuevo reglamento contiene una serie de modificaciones que hacen más accesible a las entidades certificadoras poder ser reconocidas. En general, los cambios desembocan en una concreción del anterior reglamento, los más relevantes son:
- Se sustituye el artículo 3 y 16, que tratan sobre las normas de evaluación y la obligación de los solicitantes de proporcionar la información necesaria para la certificación.
- Se añade el artículo 20 bis, en el que se concretan los requisitos para la acreditación de los organismos de evaluación de la conformidad.
- Se eliminan los artículos 23 y 24, los cuales hablaban sobre la notificación de los organismos de certificación.
- También se han añadido, suprimido o modificado apartados en los artículos 2, 5, 8, 17, 29, 48 y 49.
Entidades de certificación EUCC: requisitos específicos
En este contexto, a pesar de que en el reglamento existan unos criterios comunes y una metodología común de evaluación, que todas las entidades y organismos deben cumplir, existen unos criterios específicos para estos organismos que con el reciente cambio de la norma hay que tener en cuenta para poder emitir certificados EUCC con un nivel de garantía elevado.
Entre las condiciones exigidas, las entidades deberán contar con conocimientos especializados para tomar decisiones de certificación de alto nivel, operar en colaboración con un laboratorio ITSEF autorizado y garantizar la protección de información confidencial mediante medidas técnicas y operativas adecuadas. Además, para obtener la autorización, deberán someterse a entrevistas estructuradas y demostrar su capacidad con al menos una certificación piloto revisada por la autoridad nacional.
Asimismo, la autorización especificará las categorías de productos TIC y los perfiles de protección que abarca, con una validez ligada al período con el que cuente la acreditación. Su renovación podrá solicitarse sin necesidad de realizar nuevas evaluaciones piloto, siempre que se mantengan los requisitos establecidos. En caso de incumplimiento, la autoridad nacional retirará la autorización, prohibiendo al organismo continuar promocionándose como certificador autorizado. Estas medidas recogidas ahora en el nuevo Reglamento de Ejecución (UE) 2024/3144 buscan fortalecer el ecosistema de ciberseguridad y garantizar la fiabilidad de los productos certificados en la Unión Europea.
Archivado en:
