EUCC 1.1.1 El primer Esquema de Seguridad Europeo para productos TIC
EUCC 1.1.1
La Agencia Europea de Seguridad de las Redes y de la Información (ENISA) ha publicado el EUCC 1.1.1 (Common Criteria based European candidate cybersecurity certification scheme – Esquema de certificación de ciberseguridad candidato europeo basado en criterios comunes). Este es el primer esquema europeo de ciberseguridad para productos TIC.
La actualización del EUCC ha dado lugar al esquema candidato nombrado por ENISA como válido para la certificación de productos TIC. Además, EUCC 1.1.1 admite el uso de la metodología de gestión de parches para verificar su validez.
Nuevo esquema en el ámbito europeo
El EUCC 1.1.1 es el primer esquema publicado según las directrices del CSA (Cybersecurity Act), que plantea la creación de un marco común europeo para la certificación de productos y servicios TIC que puedan considerarse ciberseguros. Además, se puede considerar un esquema horizontal, ya que se puede utilizar en varias competencias sectoriales.
EUCC está basado en Common Criteria (ISO/IEC 15408 e ISO/IEC 18045) y está destinado a reemplazar los actuales esquemas nacionales de certificación basados también en Common Criteria. En este sentido cabe mencionar que existen una serie de esquemas de ciberseguridad reconocidos por la Comisión Europea.
Estos enmarcan la forma en que los laboratorios de ciberseguridad, las administraciones públicas y las compañías privadas pueden certificar sus productos dentro de Europa.
Más concretamente, para productos TIC. Por todo ello puede considerarse la creación del EUCC un gran hito a nivel europeo.
Adaptación del nuevo esquema EUCC 1.1.1
El desarrollo de este nuevo esquema se ha llevado a cabo por medio de la comunicación con la Comisión Europea. Con la publicación del esquema EUCC 1.1.1 coinciden una serie de elementos clave como son los siguientes:
- Todos los esquemas existentes cesan a la misma vez.
- La Agencia Europea de Seguridad de las Redes y de la Información está creando guías de transición que permitirán que laboratorios y fabricantes se adapten a las nuevas condiciones.
Como se ha dejado entrever, existirá un periodo de transición. Este espacio de tiempo permitirá:
- Poner fin a los proyectos de certificación actuales en el marco de los esquemas existentes. De igual modo también se permitirá su fácil conversión en proyectos de la EUCC.
- Se podrá dar agilidad a la transferencia de los certificados que requieran mantenimiento de manera distendida en el tiempo. Esto será bajo el esquema EUCC o mediante la reutilización para evaluaciones y certificaciones compuestas bajo el esquema EUCC.
Además, el esquema prevé algunas condiciones en las que la reutilización será posible. Esto facilitará la transición, como, por ejemplo, mediante la reutilización de las actividades de certificación o de los resultados de la evaluación por pares.
Principales novedades de la nueva versión 1.1.1
Los principales cambios hacen referencia a los siguientes aspectos.
- Cooperación sistemática con el ECCG (European Cybersecurity Certification Group – Grupo Europeo de Certificación de Ciberseguridad) para la elaboración de documentos de orientación en apoyo del esquema.
- Actualización de los anexos 7 y 9 en función de su reciente evolución en el acuerdo SOG-IS. Además, se ha añadido un nuevo anexo relativo a la limpieza y clarificación de las ST.
- Esclarecimiento de las actividades que tienen relación con la conservación de los certificados.
- Anexión y aclaración de definiciones.
- Modificación de la situación del nuevo proceso de gestión de parches. Ahora consta en anexo y en fase de prueba.
- Cambio en el logo asociado a los certificados. De esta forma se permite establecer un logo adicional específico para el esquema. Además, también es posible mencionar el nivel de evaluación alcanzado además del nivel CSA.
- Aclaración de los plazos asociados al tratamiento de las no conformidades, incumplimientos y vulnerabilidades.
- Esclarecimiento de los requisitos de la evaluación por pares. Además, se ha simplificado el anexo asociado al mismo.
Próximos pasos
Esta nueva versión del esquema, la 1.1.1, es la candidata para ser usada por la Comisión Europea para la redacción del Implementig Act. De esta forma el esquema pasa a formar parte de la legislación de la Unión Europea.
De lo que no cabe duda es de que este proceso será largo y complejo. Probablemente, requiera de nuevas revisiones y guías que faciliten la transición y la puesta en marcha del nuevo esquema EUCC 1.1.1.
No obstante, el avance está asegurado. Próximamente pasará a convertirse en una realidad en toda Europa para la cual la adaptación será necesaria.
Software para ISO 27001
El Software ISOTools para ISO 27001 presta solución a todas las cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa u organización.