Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
ENTREVISTA

Luis Jiménez, Subdirector general del Centro Criptológico Nacional

"Podrá darse respuesta a la certificación en diferentes mercados verticales"

10/07/2019
Luis Jiménez, subdirector general del CCN, aclara algunas dudas en torno al nuevo Marco Europeo de Certificación creado a instancias del Reglamento sobre la Ciberseguridad.

- El Parlamento Europeo aprobó en marzo el Reglamento sobre la Ciberseguridad, que incluye la creación de un Marco Europeo de Certificación. ¿Cuál es su valoración sobre esta medida?

Aunque en principio las medidas que incluye son voluntarias, es un primer paso hacia la concienciación de los fabricantes sobre la necesidad de incorporar la seguridad en sus procesos de desarrollo. 

- ¿Cuáles serán los principales aspectos del Marco Europeo de Ciberseguridad?

El principal aspecto es el establecimiento de un marco en el que crear diferentes esquemas de certificación según las necesidades. De este modo, podrá darse respuesta a la certificación en diferentes mercados verticales o con diferentes normativas. Estos esquemas serán desarrollados por ENISA teniendo en cuenta la opinión de todas las partes interesadas, así como de los Estados miembros a través de sus respectivas autoridades nacionales.

- ¿Cuáles son las diferencias más significativas entre el marco que plantea Europa y el español?

La principal diferencia estriba en la posibilidad de acreditar organismos de evaluación de la conformidad (CAB) para la emisión de certificados en el nivel sustancial y en el nivel básico. Debido al gran número de certificaciones que se esperan, esta medida favorece la escalabilidad del organismo de certificación actual.

- ¿En qué aspectos modifica más notablemente el trabajo que se viene haciendo en España hasta el momento en torno a la certificación?

El proceso de certificación será prácticamente el mismo para el nivel elevado, cambiando básicamente la normativa a aplicar en los diferentes esquemas. En los niveles sustancial y básico serán los CAB acreditados quienes tomen el control del proceso de certificación.

- La adaptación al Marco Europeo de Certificación es voluntaria, a no ser que en los Estados miembros se establezca obligación al respecto. ¿No resta valor o impacto este hecho?

Es cierto que resta impacto, y esto es intencionado. No se pretende perjudicar a la industria con medidas drásticas. Actualmente, la mayor demanda en certificación viene marcada por el propio mercado y el factor diferenciador. En un futuro, indudablemente, la Comisión hará obligatoria la certificación para ámbitos concretos, del mismo modo que lo hizo para los dispositivos de creación de firma cualificada en la directiva eIDAS.

- ¿De qué manera afectará el Marco Europeo de Ciberseguridad a las entidades de certificación acreditadas actualmente? 

Las entidades de certificación gubernamentales se integrarán en las Autoridades Nacionales de Certificación de la Ciberseguridad o funcionarán bajo su delegación. El resto de entidades dependerán del esquema en el que operen. Según el Reglamento, deberán cesar su operación en el caso de que exista un Esquema Europeo que solape su actividad, pudiendo acreditarse entonces en él.

- El Marco Europeo plantea tres niveles de garantía: básico, sustancial y elevado. ¿Para qué tipo de servicio, proceso o producto sería cada uno de ellos? En el caso de las infraestructuras estratégicas, ¿se prevé hacer obligatorio adquirir soluciones certificadas en ese nivel elevado?

La posibilidad de certificar productos, procesos y servicios con tres niveles de profundidad en la evaluación permitirá configurar los diferentes esquemas en función de las necesidades y del análisis de riesgos correspondiente. La Comisión podría hacer obligatorio, por ejemplo, que los productos destinados a proporcionar los servicios críticos de las infraestructuras estratégicas estuviesen certificados en nivel alto. De todos modos, aunque la Comisión no haga obligatoria la certificación, el Reglamento también apunta que puede haber reglamentación nacional que sí obligue. 

- ¿Qué plazos manejan para adaptar el esquema nacional al europeo?

La larga experiencia en procesos de certificación y el nivel de compromiso del CCN en los diversos grupos internacionales y europeos hace relativamente sencilla su adaptación a la nueva regulación. Los plazos serán los que vaya abriendo la Comisión para la creación de las estructuras europeas y nacionales.

- ¿Qué acciones llevará a cabo el CCN para ayudar a adaptarse al Esquema Europeo de Ciberseguridad a las empresas que quieran adherirse a él?

El CCN continuará, como hasta ahora, resolviendo las dudas y acompañando a las empresas que quieran certificar la seguridad de sus productos y a las que quieran acreditarse como laboratorios de ensayo o entidades que emiten certificados bajo nuestra autoridad nacional.  

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual