Javier Tallón, nuestro Director Técnico es miembro de ENISA ad-hoc Working Group sobre el esquema sucesor de SOG-IS para apoyar la preparación de un esquema candidato de certificación de ciberseguridad de la UE como sucesor de los esquemas existentes que operan bajo SOG-IS ARM.
¿Qué es EUCC?
Este nuevo esquema, desarrollado para la certificación de ciberseguridad de productos TIC, conocido como esquema EUCC (Common Criteria based European candidate cybersecurity certification scheme por sus siglas en inglés).
Recomendaciones sobre EUCC, el nuevo esquema para la certificación de ciberseguridad de productos TIC
Respecto a EUCC, estas son nuestras recomendaciones:
1. Preveer un breve período de incertidumbre. Si el acto de aplicación se adopta hacia finales de 2020, habrá un período de transición, probablemente de dos años, antes de que los actuales sistemas nacionales SOGIS dejen de ser válidos. Esperamos que el nuevo esquema esté completamente operativo para comienzos de 2022. Los antiguos certificados pueden ser convertidos al nuevo esquema. Tenga en cuenta que habrá cero emisión paralela de certificados de EUCC y SOG-IS MRA.
2. Preparándose para nuevas obligaciones:
3. Prepararse para la gestión de parches: el nuevo esquema tendrá dos metodologías de gestión de parches que permitirán a los desarrolladores impulsar las actualizaciones de seguridad de su producto mientras se mantienen bajo el paraguas del certificado. Una de ellas ha sido liderada por jtsec como parte de la ISO SC27. Es posible que requieran un poco de preparación, por lo que hay que asegurarse de que se puedan proporcionar parches de manera coherente con estas nuevas metodologías. Si eres capaz de implementar la gestión de parches desde ahora podrás tener algunos beneficios en el futuro, especialmente si quieres convertir los certificados SOG-IS ya concedidos al nuevo esquema.
4. Colaboración más estrecha en el laboratorio: el nuevo esquema necesitará una cooperación más estrecha entre los proveedores y los laboratorios para funcionar adecuadamente Puede haber reevaluaciones y auditorías de los productos ya certificados después de la certificación.
5. Certificados por encima de VAN.3 no serán reconocidos a menos que exista un dominio técnico específico (por el momento hay dos dominios técnicos: "Dispositivos HW con Cajas de Seguridad" y "Tarjetas inteligentes y dispositivos similares").
Primera consulta pública para la versión-1 del Esquema Candidato de EUCC
La Agencia de la Unión Europea para la Ciberseguridad (ENISA por sus siglas en inglés) ha lanzado una consulta pública para el primer esquema candidato de certificación de ciberseguridad que terminará el 31 de Julio a las 12:00 CET. Hasta esa fecha, existe la posibilidad de colaborar con el proyecto y compartir comentarios que puedan ser útiles para la mejora del esquema y que serán revisados en una versión posterior.
Nuestro compromiso con las nuevas normas en ciberseguridad
En jtsec, siempre nos esforzamos por innovar en el campo de la ciberseguridad como parte de nuestra excelencia técnica. Somos editores del grupo temático "IACS Cybersecurity certification", miembros del SCCG (Stakeholder Cybersecurity Certification Group) y editors de JTC13 WG3: "Cybersecurity Evaluation Methodology for ICT products", entre otras muchas contribuciones en el área de la ciberseguridad.