+34.911735181 pablo@pablofb.com   Contenido basado en normas de España (Europa), salvo indicación expresa en contrario.

Resumen del Reglamento UE sobre certificaciones europeas de ciberseguridad

En unos días entrará en vigor el Reglamento Europeo de Ciberseguridad, especialmente dirigido a fabricantes y distribuidores del ámbito de la ciberseguridad, aunque las consecuencias del texto nos tocarán a todos, tanto si llevamos una vida apegada a las tecnologías como si disfrutamos de sus ventajas sin tener la sensación de hacer un uso intensivo de ellas.

A continuación indico lo que considero más interesante de la norma.

Notas clave:

  • Título: Reglamento Europeo de Ciberseguridad
  • Resumen: Establece las bases para la creación de certificados europeos de ciberseguridad para productos, servicios y procesos TIC.
  • Enlace oficial: https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX:32019R0881
  • Alcance de la norma: Reglamento europeo de aplicación directa y horizontal
  • Entrada en vigor: 27/06/2019
  • Deroga: Reglamento (UE) n.o 526/2013 («Reglamento sobre la Ciberseguridad»)

Considerandos clave:

Considerando 5: Los ciberataques van en aumento, y una economía y una sociedad conectadas, más vulnerables a las ciberamenazas y los ciberataques, requieren unas defensas más sólidas. Sin embargo, mientras que los ciberataques a menudo son transfronterizos, las competencias de las autoridades de ciberseguridad y policiales, así como las respuestas políticas de las mismas, son predominantemente nacionales. Los ciberincidentes a gran escala podrían perturbar la prestación de servicios esenciales en toda la Unión. Esta situación requiere una respuesta efectiva y coordinada y una gestión de crisis a escala de la Unión, basadas en políticas específicas y en instrumentos más amplios que propicien la solidaridad y la asistencia mutua en Europa. Además, es importante para los responsables políticos, la industria y los usuarios que se lleve a cabo una evaluación periódica del estado de la ciberseguridad y la resiliencia en la Unión, basada en datos fiables de la Unión, y que se haga una previsión sistemática de los avances, retos y amenazas futuros.

Considerando 11: A menudo, los modernos productos y sistemas de TIC integran una o varias tecnologías y componentes de terceros y se basan en ellos, por ejemplo, módulos de programas, bibliotecas o interfaces de programación de aplicaciones. Esta relación, llamada de «dependencia», puede presentar riesgos adicionales en materia de ciberseguridad, pues las vulnerabilidades de los componentes de terceros pueden afectar también a los productos, servicios y procesos de TIC. En gran número de casos, determinar y documentar dichas dependencias permite a los usuarios finales de los productos, servicios y procesos de TCI optimizar sus actividades de gestión relacionadas con la ciberseguridad mejorando, por ejemplo, los procedimientos que ponen a punto para detectar las vulnerabilidades en materia de ciberseguridad y ponerles remedio.

Considerando 12: Las organizaciones, fabricantes y proveedores implicados en el diseño y desarrollo de productos, servicios y procesos de TIC deben ser animadas a aplicar medidas desde las primeras fases del diseño y desarrollo que permitan proteger desde el principio y en la máxima medida posible la seguridad de tales productos, procesos y servicios, presuponer que se van a producir ataques y prever y limitar sus repercusiones («seguridad desde el diseño»). La seguridad se debe tener en cuenta durante todo el ciclo de vida del producto, servicio o proceso de TIC y los procesos de diseño y desarrollo deben evolucionar constantemente para reducir el riesgo de daños derivados de la explotación malintencionada.

Publicidad
Protección de datos y ciberseguridad para tu empresa

Artículos clave:

Art. 8.3.   ENISA recopilará y publicará directrices y desarrollar buenas prácticas, relativas a los requisitos de ciberseguridad de los productos, servicios y procesos de TIC, en cooperación con las autoridades nacionales de certificación de la ciberseguridad y con la industria, de una manera formal, estructurada y transparente.

Art. 50.1. ENISA mantendrá un sitio web asignado al propósito de ofrecer información sobre los esquemas europeos de certificación de la ciberseguridad, los certificados europeos de la ciberseguridad y las declaraciones UE de conformidad y darles publicidad, también en lo que se refiere a los esquemas europeos de certificación de la ciberseguridad que ya no son válidos y certificados europeos de la ciberseguridad y las declaraciones UE de conformidad retirados o caducados y al repositorio de hiperenlaces de información sobre ciberseguridad facilitado de conformidad con el artículo 55.

Art. 53.1. Un esquema europeo de certificación de la ciberseguridad podrá permitir realizar una autoevaluación de la conformidad bajo la responsabilidad exclusiva del fabricante o proveedor de productos, servicios o procesos de TIC. La autoevaluación de la conformidad únicamente se permitirá en relación con productos, servicios y procesos de TIC que presenten un bajo riesgo correspondientes al nivel de garantía «básico».

Art. 55.1 El fabricante o proveedor de productos, servicios y procesos de TIC certificados o autoevaluados proporcionará la información sobre ciberseguridad complementaria siguiente: orientaciones y recomendaciones para ayudar a los usuarios finales con la configuración, la instalación, el despliegue, el funcionamiento y el mantenimiento seguros de los productos o servicios de TIC; el período durante el cual se ofrecerá a los usuarios finales apoyo en materia de seguridad, en particular en lo que se refiere a la disponibilidad de actualizaciones relacionadas con la ciberseguridad; datos de contacto del fabricante o proveedor y métodos aceptados para recibir información sobre vulnerabilidad de usuarios finales o investigadores en materia de seguridad; una referencia a los registros en línea en los que consten las vulnerabilidades conocidas públicamente en relación con el producto, servicio o proceso de TIC, así como recomendaciones pertinentes en materia de ciberseguridad.

Art. 56.2 La certificación de la ciberseguridad será voluntaria, salvo que se disponga otra cosa en el Derecho de la Unión o de los Estados miembros.

Art. 62.1. Queda establecido el Grupo Europeo de Certificación de la Ciberseguridad (en lo sucesivo, «GECC»).

Más info: https://www.enisa.europa.eu/news/enisa-news/the-eu-cybersecurity-act-a-new-era-dawns-on-enisa


 

He abierto una sección nueva en mi blog. Por si a alguien le entra curiosidad: https://www.pablofb.com/

Publicidad
Protección de datos y ciberseguridad para tu empresa