Red Seguridad 085

48 red seguridad segundo trimestre 2019 normativa reportaje La adaptación a este Marco tiene carácter voluntario (por el momento) y su contenido queda a expensas de que ENISA prepare una propuesta de esquema que sirva de referencia para la posterior elaboración de los esquemas nacionales. Esa propues- ta deberá basarse en un "programa evolutivo de trabajo" que publicará la Comisión "a más tardar el 10 de junio de 2020", que definirá las prio- ridades estratégicas para los futuros esquemas de certificación de ciber- seguridad. Este programa incluirá una lista de productos, servicios y procesos TIC, o categorías de los mismos, que pudieran beneficiarse de su inclusión en el ámbito de un esquema. ENISA evaluará, al menos cada cinco años, esos esquemas euro- peos de certificación, así como los certificados y las declaraciones de conformidad, para posteriormente darles publicidad. Los esquemas europeos de cer- tificación deberán cumplir una lista de 10 objetivos, entre los que se encuentra proteger los datos almace- nados, transmitidos o tratados frente a revelaciones o accesos accidenta- les o no autorizados durante el ciclo de vida del producto, verificar que las herramientas, servicios o procesos no presentan vulnerabilidades conocidas o que estos sean seguros por defecto y desde el diseño. La norma establece tres niveles de garantía para los productos, servicios y procesos TIC: básico, sustancial y elevado. Estas categorías debe- rán incluirse en todos los esquemas europeos, así como los requisitos específicos de cumplimiento en cada caso. No obstante, las exigencias para cada nivel dependerán en gran medida de la importancia del obje- to a proteger para la seguridad del Estado, así como del tipo de amena- zas que puedan afectarles. El Reglamento deja abierta la posi- bilidad a que los esquemas de certi- ficación permitan que los fabricantes o proveedores realicen una autoeva- luación del producto, proceso o ser- vicio TIC, siempre bajo su exclusiva responsabilidad. Estas autoevaluacio- nes, no obstante, únicamente podrán llevarse a cabo en el caso de los productos de nivel básico. En cuanto a las autoridades nacio- nales de certificación, cada Estado deberá nombrar a un organismo que ejerza este cometido. Entre otras funciones, las autoridades nacionales se encargarán de comprobar la apli- cación de las normas recogidas en los esquemas europeos de certifica- ción para verificar la conformidad de los productos, servicios o procesos TIC; controlar el cumplimiento de las obligaciones para fabricantes y proveedores, y supervisar la actividad de los organismos de evaluación de conformidad. Precisamente sobre estos últimos, el Reglamento sobre laCiberseguridad ha incluido un anexo en el que apa- recen reflejados los requisitos que deben cumplir los organismos de evaluación de conformidad. Por otro lado, esta regulación tam- bién establece la creación de un Grupo Europeo de Certificación de la Ciberseguridad, que estará integrado por representantes de las autorida- des nacionales de certificación. Dicho órgano asesorará a la Comisión para garantizar la coherencia en la implan- tación y aplicación del Marco de Certificación, ayudará a ENISA en la propuesta del esquema, encauza- rá la colaboración entre autoridades nacionales o facilitará el alineamiento de los esquemas de certificación con las normas internacionales. Por último, de nuevo las multas for- man parte de una normativa europea. Los estados miembros establecerán un régimen de sanciones en caso de incumplimiento del Reglamento sobre la Ciberseguridad o de los esquemas de certificación. “Las san- ciones establecidas serán efectivas, proporcionadas y disuasorias”, señala el documento. El Reglamento establece tres niveles de garantía para los productos, servicios y procesos TIC: básico, sustancial y elevado. La norma pretende garantizar que productos, servicios y procesos TIC cumplan los requisitos de ciberseguridad