ENISA ha publicado esta misma semana una actualización del EUCC (Common Criteria based European candidate cybersecurity certification scheme por sus siglas en inglés). Un esquema del que estamos profundamente orgullosos de que se publique, ya que, jtsec ha participado activamente a través del Ad Hoc Working Group y del Stakeholders Cybersecurity Certification Group en la creación del esquema candidato nombrado por ENISA como válido para la certificación de productos TIC.
Además, admite el uso de la metodología de gestión de parches para verificar su validez. Esta gestión de parches es desarrollada en ISO con jtsec como editor de la misma.
¿Qué significa este nuevo esquema en el ámbito europeo?
EL EUCC es el primer esquema publicado según las directrices del CSA (Cybersecurity Act), que plantea la creación de un marco común europeo para la certificación de productos y servicios TIC “ciberseguros”. Se puede considerar un esquema horizontal, ya que puede ser utilizable en varias competencias sectoriales.
EUCC está basado en Common Criteria (ISO/IEC 15408 y ISO/IEC 18045) y está destinado a reemplazar los actuales esquemas nacionales de certificación basados también en Common Criteria (en España ENECSTI).
En el siguiente gráfico observamos el proceso que ha seguido el EUCC hasta llegar a su aprobación por parte de la Comisión Europea.
La existencia de esquemas de ciberseguridad reconocidos por la Comisión Europea supone un marco en el que los laboratorios de ciberseguridad, empresas privadas y administraciones públicas pueden atenerse a la hora de certificar sus productos dentro de Europa, en el caso del EUCC, para productos TIC.
Desde jtsec siempre hemos apostado por la estandarización y unificación de criterios en cuanto a certificaciones de ciberseguridad se refiere, por lo que la creación del EUCC es un gran hito a nivel europeo.
Nuestra colaboración en el desarrollo del EUCC
Javier Tallón, Director Técnico en jtsec Beyond IT Security, ha formado parte del Grupo de Trabajo ENISA ad-hoc Working Group sobre el esquema sucesor de SOG-IS, encargado de desarrollar el esquema EUCC. Por ello, estamos muy orgullosos de que, finalmente, haya sido este esquema candidato el seleccionado por la Comisión Europea para la certificación de ciberseguridad de productos TIC.
Como miembro del AhWG, Javier ha participado activamente en los grupos de trabajo temáticos TG2 y TG5, correspondientes a los “Necessary elements to specify, evaluate and certify products in a harmonised way” y al “Continuity assurance and handling of vulnerabilities” y es Rapporteur del TG7 “Guidance on harmonized interpretations of ISO/IEC 17025 and 17065”.
Por otra parte, ENISA ha confiado en jtsec (en colaboración con Red Alert Labs y KPMG) para la creación de tres nuevas guías:
Además, recientemente nuestro CTO, José Ruiz, también ha sido incorporado al AhWG como experto en Common Criteria para la creación de una etiqueta que permita al gran público identificar los productos certificados en el nuevo esquema, no sólo por el nivel de garantía de acuerdo al CSA (Básico / Sustancial / Alto), sino además permitiendo introducir el nivel de garantía utilizando los Requisitos de Seguridad de Common Criteria (EAL4+ALC_FLR.1).
En este grupo de trabajo colaborará con otros expertos en vigilancia del mercado y etiquetado como los responsables del marcado CE o de la etiqueta PEGI de uso en videojuegos.
*fuente original ENISA
Finalmente estamos muy orgullosos que el trabajo que hemos hecho (¡y seguimos!) haciendo en ISO en estos últimos años de un magnífico fruto, permitiendo el uso de la metodología de Gestión de Parches desarrollada en ISO.
Por supuesto aún queda algún tiempo para que el esquema esté finalizado, así que esperamos poder seguir brindando todo nuestro apoyo a ENISA y al ECCG.
¿Cómo se espera que se adapte el nuevo esquema EUCC?
En las diferentes conversaciones con la Comisión Europea, se ha considerado que el escenario de un "big bang" es el más probable, ya que consiste en lo siguiente:
Existirá un periodo de transición, no obstante, que permitirá:
Además, el esquema prevé algunas condiciones de reutilización posibles para facilitar la transición (por ejemplo, reutilización de las actividades de certificación o reutilización de los resultados de la evaluación por pares).
Novedades en la versión 1.1.1
Los principales cambios se refieren a:
Siguientes pasos
Esta versión del esquema candidato será la utilizada por la Comisión Europea para la redacción del Implementig Act, por el cual el esquema pasa a formar parte de la legislación europea.
Este proceso será largo y complejo, y probablemente requiera de nuevas discusiones y guías para facilitar la transición y uso del nuevo esquema, pero el avance es imparable y pronto será una realidad en toda Europa a la que debemos adaptarnos cuanto antes.
*fuente original ENISA
¿Cómo podemos ayudarte a evaluar tu producto cumpliendo con el EUCC?
Si estás pensando en certificar tu producto TIC bajo el esquema EUCC, no dudes en contactar para que podamos asesorarte. Además, como a laboratorio experto en Common Criteria, te ayudamos a que tu producto obtenga la certificación en el menor tiempo posible, agilizando el proceso gracias a nuestro expertise técnico.