¿Cómo afectará a su negocio el primer sistema de certificación de ciberseguridad de la UE?

En el mundo digital, la confianza se gana con esfuerzo y se pierde fácilmente. Parte de la razón de esto es la falta de un esquema de marcas de seguridad universalmente comprendido y creíble. Ingrese al marco de certificación de ciberseguridad de la UE: una iniciativa de años de duración diseñada para armonizar la confianza en los productos, servicios y procesos de TI dentro y fuera del bloque.

La agencia de seguridad de la UE, ENISA, acaba de anunciar el primer plan de este tipo: el Plan Europeo de Ciberseguridad sobre Criterios Comunes (EUCC). Según los expertos, complementará las normas de ciberseguridad propuestas por la UE y podría ayudar a las empresas del Reino Unido a comercializar sus propios productos y mejorar la seguridad básica de su organización.

¿Por qué necesitamos la EUCC?

Las deficiencias en los productos de TI son una causa clave del riesgo cibernético. Pueden estar plagados de vulnerabilidades de software o presentar componentes de hardware, protocolos de comunicación y configuraciones listas para usar inseguros que son difíciles de solucionar. Es posible que algunos fabricantes ni siquiera tengan un programa específico de gestión de vulnerabilidades.

Sin embargo, hasta ahora, ha sido un desafío para los compradores de TI distinguir los productos seguros en el mercado de los demás y del kit francamente inseguro. Todos los esquemas de certificación en funcionamiento se ejecutaron a nivel nacional, lo que no es bueno en un mundo cada vez más global e interconectado.

¿Qué es la EUCC?

Aquí es donde entra en juego el EUCC. Previsto por la Ley de Ciberseguridad (CSA) de 2019 de la UE, está diseñado para introducir un "conjunto completo de reglas, requisitos de estándares técnicos, estándares y procedimientos que se aplicarán en toda la unión", según ENISA.

Y continúa:

“El nuevo esquema EUCC, de base voluntaria, permite a los proveedores de TIC que deseen presentar pruebas de garantía pasar por un proceso de evaluación comúnmente aceptado en la UE para certificar productos de TIC como componentes tecnológicos (chips, tarjetas inteligentes), hardware y software. El esquema se basa en el método probado en el tiempo. Criterios comunes de SOG-IS marco de evaluación ya utilizado en 17 estados miembros de la UE. Propone dos niveles de aseguramiento basados ​​en el nivel de riesgo asociado con el uso previsto del producto, servicio o proceso, en términos de probabilidad e impacto de un accidente”.

Según el consultor de ciberseguridad de CyberSmart, Adam Pilton, existen dos niveles de garantía de seguridad: “Sustancial” y “Alto”.

"El nivel sustancial garantiza que los productos, servicios y procesos de TIC cumplan con las funcionalidades estipuladas y estén en un nivel destinado a minimizar los riesgos de ciberseguridad conocidos llevados a cabo por actores con habilidades y recursos limitados", le dice a ISMS.online.

"La alta seguridad garantiza que los productos, servicios y procesos de TIC cumplan con las funcionalidades estipuladas y estén en un nivel destinado a minimizar los ciberataques de última generación llevados a cabo por actores con importantes habilidades y recursos".

La certificación puede durar hasta cinco años o más en algunos casos. Pero si durante la vida útil de una certificación algún elemento del activo en cuestión cambia, sería necesario tomar medidas para actualizar los niveles de garantía. Si no se completa satisfactoriamente, podría dar lugar a la suspensión o retirada de la certificación, explica Pilton.

Cómo la EUCC podría beneficiar a las empresas del Reino Unido

Hay dos beneficios principales para la EUCC. Con suerte:

Incentivar a los proveedores/fabricantes de TIC para que mejoren la seguridad de sus productos, servicios y procesos, animándolos a cumplir con los requisitos de EUCC.
Proporcionar una forma útil para que las organizaciones que compran productos y servicios de TI garanticen que sus compras estén alineadas con su apetito por el riesgo.

Un sistema de certificación es esencial "para desarrollar, lanzar y gestionar eficazmente dispositivos y servicios seguros", según Gil Bernabeu, CTO de la organización de estándares técnicos GlobalPlatform.

“SOG-IS ha permitido esto en Europa durante la última década. Y EUCC se basa en ese enfoque, ampliando el alcance y el reconocimiento en los 27 estados miembros para permitir que los proveedores certifiquen y vendan productos en toda Europa bajo el CSA de la UE”, le dice a ISMS.online.

“La clave de su éxito será garantizar que los niveles de seguridad sean consistentes en todas las regiones y mercados de una manera transparente, alineada con la industria y accesible para el usuario final. Ahorrar tiempo, dinero y esfuerzo y al mismo tiempo mejorar la ciberseguridad en Europa sólo puede ser algo bueno”.

Aunque el sistema tiene su sede en la UE, cualquier empresa puede obtener la certificación. Eso significa que los proveedores de TI del Reino Unido podrían utilizar la certificación para mejorar la comerciabilidad de sus soluciones entre una base de clientes de la UE. También beneficiará a los compradores de TI en el Reino Unido mientras intentan diferenciar entre proveedores dentro del bloque.

Según Pilton, la influencia del plan podría extenderse aún más en el tiempo.

“Países de todo el mundo participaron en la consulta de este plan, incluidos el Reino Unido, Estados Unidos, Australia y China. Y el 82% de los participantes en la consulta indicaron su intención de utilizar el esquema EUCC”, dice.

“Tener una certificación a nivel de la UE creará una Europa más confiable y segura. Y si otros países indican su intención de adoptar este esquema, esto sin duda tendrá un impacto global al garantizar que tengamos acceso a productos, procesos y servicios confiables”.

solo el comienzo

Aunque voluntario, el plan podría tener un impacto significativo, al igual que el del Reino Unido. Cyber ​​Essentials, dice Pilton.

“La EUCC es un esquema que puede unir a un continente, un continente también globalmente influyente. Por supuesto, mejorará directamente la ciberseguridad de quienes participen, pero también aumentará la concienciación, promoviendo la ciberhigiene y las mejores prácticas en todas las empresas”, afirma.

“Con el tiempo, esto generará confianza y fomentará el desarrollo responsable y la implementación de productos seguros. El veinticinco por ciento de los que asistieron a la consulta de la EUCC declararon que tenían la intención de que sus productos fueran certificados según ella”.

La EUCC también complementará otras leyes y directivas en desarrollo a nivel de la UE, por ejemplo ayudando al cumplimiento de NIS2 para organizaciones que necesitan evidencia de que las entidades en sus cadenas de suministro cumplen con los estándares prescritos, dice Pilton.

Esa es también la opinión de Jesús Fernández, que fue miembro del grupo de trabajo de ENISA sobre EUCC.

“El plan voluntario complementará el Ley de Resiliencia Cibernética que introduce requisitos vinculantes de ciberseguridad para todos los productos de hardware y software en la UE. El esquema EUCC también impulsará la implementación de la Directiva NIS2”. el argumenta.

"Por lo tanto, en este punto, es prudente esperar futuras regulaciones verticales/sectoriales que podrían imponer certificaciones EUCC obligatorias específicas para tipos particulares de productos de TI cuando se utilizan en sectores específicos".

También vale la pena recordar que el EUCC es el primero de tres esquemas de certificación de ciberseguridad, y aún se están ultimando otros dos que cubren servicios en la nube y redes 5G. Juntos, podrían hacer mucho para mejorar la seguridad básica en toda la región y más allá.