Esquema europeo de certificación de la ciberseguridad basado en los criterios comunes (EUCC)

SÍNTESIS DEL DOCUMENTO:

Reglamento de Ejecución (UE) 2024/482 de la Comisión sobre las disposiciones de aplicación del Reglamento (UE) 2019/881 en lo concerniente a la adopción del esquema europeo de certificación de la ciberseguridad basado en los criterios comunes

¿CUÁL ES EL OBJETIVO DE ESTE REGLAMENTO?

El presente Reglamento de Ejecución establece las disposiciones de aplicación del Reglamento (UE) 2019/881 (véase la síntesis) para el esquema europeo de certificación de la ciberseguridad basado en los criterios comunes (EUCC).

El EUCC es un marco para evaluar y certificar la ciberseguridad de los perfiles de protección y productos de tecnologías de la información y la comunicación (TIC). El objetivo del esquema es garantizar que los productos de TIC cumplen normas de seguridad estrictas mediante un proceso estructurado, con el fin de mejorar la ciberseguridad, lograr la coherencia en toda la Unión Europea (UE) y proporcionar una certificación fiable. El EUCC se basa en el acuerdo de reconocimiento mutuo («ARM») de los certificados de seguridad de las tecnologías de la información adoptado por el Grupo de Altos Funcionarios sobre Seguridad de los Sistemas de Información («SOG-IS»).

PUNTOS CLAVE

NORMAS Y MÉTODOS DE EVALUACIÓN

El esquema utiliza los criterios comunes (ISO/IEC 15408) y la metodología común de evaluación (ISO/IEC 18045) para las evaluaciones.
Los organismos de certificación expiden certificados EUCC a dos niveles de garantía: «sustancial» (niveles AVA_VAN* 1 o 2) y «elevado» (niveles AVA_VAN 3, 4 o 5). El nivel de garantía determina la profundidad y el rigor de la evaluación.
Los productos TIC se certifican en función de sus objetivos de seguridad, que pueden incorporar un perfil de protección certificado si procede.
El esquema EUCC no permite la autoevaluación en materia de conformidad.

CERTIFICACIÓN DE PRODUCTOS DE TIC

Las evaluaciones deben respetar los criterios comunes, la metodología común de evaluación y los documentos del estado de la técnica aplicables.
La certificación a niveles de garantía más elevados (niveles AVA_VAN 4 o 5) debe llevarse a cabo, por regla general, sobre la base de ámbitos técnicos o perfiles de protección adoptados como documentos del estado de la técnica y enumerados en el anexo I.
Los solicitantes deben aportar documentación completa, incluidos los resultados de evaluaciones anteriores si procede, para respaldar el proceso de certificación.
Los organismos de certificación expedirán certificados si se cumplen todas las condiciones y dichos certificados incluirán la información específica que figura en el anexo VII.
Los esquemas nacionales de certificación de la ciberseguridad deben ajustarse al EUCC y dejar de surtir efectos transcurridos doce meses desde la entrada en vigor del Reglamento. Un proceso nacional de certificación iniciado durante ese período debe concluir en un plazo de veinticuatro meses a partir de la entrada en vigor.
Los certificados:
- son válidos durante un máximo de 5 años, con posibles prórrogas previa aprobación;
- se revisan periódicamente para garantizar el cumplimiento permanente de los requisitos de seguridad;
- se retiran si el producto certificado deja de cumplir las normas exigidas o si hay no conformidades significativas.

CERTIFICACIÓN DE PERFILES DE PROTECCIÓN

Los perfiles de protección establecen requisitos de seguridad para determinadas categorías de productos de TIC. Estos perfiles:

se evalúan de forma similar a los productos de TIC, garantizando que cumplen los requisitos de seguridad necesarios para categorías específicas de TIC;
se certifican por parte de autoridades nacionales de certificación de ciberseguridad u organismos públicos acreditados, o por un organismo de certificación, previa autorización.

MARCADO Y ETIQUETADO

Los productos certificados podrán llevar una marca y una etiqueta que indique su estado de certificación.
Deben quedar claramente a la vista y contener detalles como el nivel de garantía, el número de identificación único y un código QR que enlace con la información sobre la certificación.

ORGANISMOS NACIONALES DE ACREDITACIÓN

Los organismos de certificación y las instalaciones de evaluación de la seguridad de las tecnologías de la información (ITSEF) deben estar acreditados de conformidad con el Reglamento (CE) n.^o 765/2008 (véase la síntesis) y, para los niveles de garantía elevados, autorizados por las autoridades nacionales de certificación de la ciberseguridad.
Las autoridades nacionales de certificación de ciberseguridad supervisan el cumplimiento de los organismos de certificación, los ITSEF y los titulares de certificados. Asimismo, tramitan denuncias y llevan a cabo investigaciones sobre la falta de conformidad.
Los productos que no sean conformes deben someterse a medidas correctoras y los certificados pueden suspenderse o retirarse si no se resuelven los problemas.
Los organismos de certificación que expiden certificados de alto nivel deben someterse a evaluaciones periódicas por pares con el fin de garantizar la coherencia y la aplicación de normas elevadas en las prácticas de certificación.
El Grupo Europeo de Certificación de la Ciberseguridad desempeña un papel crucial en el mantenimiento del esquema, avalando los documentos del estado de la técnica y garantizando su pertinencia y eficacia constantes.

GESTIÓN Y DIVULGACIÓN DE VULNERABILIDADES

Los titulares de certificados deben establecer procedimientos para gestionar y divulgar vulnerabilidades, realizar análisis del impacto de la vulnerabilidad e informar sobre vulnerabilidades significativas a los organismos y autoridades de certificación.
Los certificados retirados deben divulgarse en las bases de datos pertinentes, lo cual permite garantizar la transparencia de las vulnerabilidades conocidas.

CONSERVACIÓN Y PROTECCIÓN DE LA INFORMACIÓN

Los organismos de certificación y los ITSEF deben llevar registros de evaluaciones y certificaciones durante al menos cinco años después de la retirada del certificado.
Todas las partes implicadas en el proceso de certificación deben proteger la información confidencial y los secretos comerciales.

ACUERDOS DE RECONOCIMIENTO MUTUO CON TERCEROS PAÍSES

Los terceros países pueden reconocer las certificaciones EUCC por medio de acuerdos de reconocimiento mutuo, siempre que cumplan los criterios de control, supervisión y gestión de la vulnerabilidad.

¿DESDE CUÁNDO ESTÁ EN VIGOR EL REGLAMENTO?

Está en vigor desde el 27 de febrero de 2025.

ANTECEDENTES

Para más información, véanse:

Certificación de la ciberseguridad de la Unión Europea (Agencia de la Unión Europea para la Ciberseguridad)
Marco de certificación de la ciberseguridad (Agencia de la Unión Europea para la Ciberseguridad).

TÉRMINOS CLAVE

Nivel AVA_VAN. Nivel de garantía de análisis de vulnerabilidades que indica el grado de actividades de evaluación de la ciberseguridad llevadas a cabo para determinar el nivel de resistencia ante el posible aprovechamiento de defectos o debilidades del objeto de evaluación en su entorno operativo, tal como se establece en los criterios comunes.

DOCUMENTO PRINCIPAL

Reglamento de Ejecución (UE) 2024/482 de la Comisión, de 31 de enero de 2024, por el que se establecen disposiciones de aplicación del Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo en lo concerniente a la adopción del esquema europeo de certificación de la ciberseguridad basado en los criterios comunes (EUCC) (DO L, 2024/482 de 7.2.2024).

DOCUMENTOS CONEXOS

Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.^o 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2) (DO L 333 de 27.12.2022, pp. 80-152).

Las modificaciones sucesivas de la Directiva (UE) 2022/2555 se han incorporado al texto original. Esta versión consolidada solo tiene valor documental.

Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.^o 526/2013 (Reglamento sobre la Ciberseguridad) (DO L 151 de 7.6.2019, pp. 15-69).

Reglamento (UE) 2019/1020 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, relativo a la vigilancia del mercado y la conformidad de los productos y por el que se modifican la Directiva 2004/42/CE y los Reglamentos (CE) n.^o 765/2008 y (UE) n.^o 305/2011 (DO L 169 de 25.6.2019, pp. 1-44).

Véase la versión consolidada.

Reglamento (CE) n.^o 765/2008 del Parlamento Europeo y del Consejo, de 9 de julio de 2008, por el que se establecen los requisitos de acreditación y vigilancia del mercado relativos a la comercialización de los productos y por el que se deroga el Reglamento (CEE) n.^o 339/93 (DO L 218 de 13.8.2008, pp. 30-47).

Véase la versión consolidada.

Recomendación del Consejo 95/144/CE, de 7 de abril de 1995, relativa a los criterios comunes de evaluación de la seguridad en las tecnologías de la información (DO L 93 de 26.4.1995, pp. 27-28).

última actualización 01.07.2024