El nuevo reglamento europeo de Ciberseguridad ha entrado en vigor este jueves, 27 de junio, en toda la Unión Europea, estableciendo un nuevo mandato para la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (Enisa, por sus siglas en inglés), que cambia de nombre, tendrá un mandato permanente, duplicará sus recursos económicos de los 11 a los 23 millones de euros en cinco años y también aumentará sus responsabilidades. El nuevo reglamento, además, establece el marco de certificación europeo de ciberseguridad que establece las normas para la certificación dentro de la UE de los productos, procesos y servicios TIC.
Desde este jueves la Enisa pasa a llamarse a la Agencia de la Unión Europea para la Ciberseguridad. Su mandato permanente también suma tareas. La Agencia tendrá un papel clave en la creación y el mantenimiento del marco de certificación de ciberseguridad, por ejemplo, preparando los nuevos esquemas de certificación específicos e informando al público sobre estos esquemas y cómo funcionará el proceso de certificación.
También deberá encargarse de hacer crecer la cooperación operativa en la UE, ayudando a los estados miembros que lo soliciten a manejar los posibles incidentes cibernéticos que ocurran y apoyando la coordinación en la Unión en caso de ataques y crisis a gran escala. Esta tarea se basa en el papel de la Agencia como secretaría de la Red de Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRTs) que establece la Directiva NIS.
Certificación de ciberseguridad de productos, procesos y servicios TIC
Destaca en este reglamento la introducción, por primera vez, de normas comunes para la certificación de la seguridad cibernética. Las empresas de la UE podrán certificar sus productos, procesos y servicios TIC una única vez y esta certificación será reconocida en toda la Unión.
Para llevar a cabo el proceso, se crearán diferentes esquemas para distintas categorías de productos, procesos y servicios TIC. Cada esquema especificará la tipología, el propósito, los estándares de seguridad que deben cumplir y los métodos de evaluación para cada producto, servicio y proceso. Los esquemas también indicarán el período de validez de los certificados emitidos.
El reglamento permite la autocertificación, de conformidad con el fabricante, para los productos que presentan un bajo nivel de riesgo. Cabe recordar que este sistema de certificación no es obligatorio, aunque la Comisión evaluará si se requiere una certificación obligatoria para ciertas categorías de productos y servicios.
El mandato de la nueva Agencia de la Unión Europea para la Ciberseguridad comienza en el momento en el que el reglamento ha entrado en vigor. Si embargo, el proceso de certificación comienza a construirse ahora.