Red Seguridad 085

red seguridad segundo trimestre 2019 49 normativa reportaje El Parlamento Europeo apro- bó en marzo el Reglamento sobre la Ciberseguridad, que incluye la creación de un Marco Europeo de Certificación. ¿Cuál es su valoración sobre esta medida? Aunque en principio las medidas que incluye son voluntarias, es un primer paso hacia la concienciación de los fabricantes sobre la necesidad de incorporar la segu- ridad en sus procesos de desarrollo. ¿Cuáles serán los principales aspectos del Marco Europeo de Ciberseguridad? El principal aspecto es el establecimiento de un marco en el que crear diferen- tes esquemas de certificación según las necesidades. De este modo, podrá darse respuesta a la certificación en diferentes mercados verticales o con diferentes nor- mativas. Estos esquemas serán desarro- llados por ENISA teniendo en cuenta la opinión de todas las partes interesadas, así como de los Estados miembros a través de sus respectivas autoridades nacionales. ¿Cuáles son las diferencias más sig- nificativas entre el marco que plantea Europa y el español? La principal diferencia estriba en la posi- bilidad de acreditar organismos de eva- luación de la conformidad (CAB) para la emisión de certificados en el nivel sustan- cial y en el nivel básico. Debido al gran número de certificaciones que se espe- ran, esta medida favorece la escalabilidad del organismo de certificación actual. ¿En qué aspectos modifica más notablemente el trabajo que se viene haciendo en España hasta el momento en torno a la certificación? El proceso de certificación será prácti- camente el mismo para el nivel elevado, cambiando básicamente la normativa a aplicar en los diferentes esquemas. En los niveles sustancial y básico serán los CAB acreditados quienes tomen el control del proceso de certificación. La adaptación al Marco Europeo de Certificación es voluntaria, a no ser que en los Estados miembros se esta- blezca obligación al respecto. ¿No resta valor o impacto este hecho? Es cierto que resta impacto, y esto es intencionado. No se pretende perjudicar a la industria con medidas drásticas. Actualmente, la mayor demanda en cer- tificación viene marcada por el propio mercado y el factor diferenciador. En un futuro, indudablemente, la Comisión hará obligatoria la certificación para ámbitos concretos, del mismo modo que lo hizo para los dispositivos de creación de firma cualificada en la directiva eIDAS. ¿De qué manera afectará el Marco Europeo de Ciberseguridad a las enti- dades de certificación acreditadas actualmente? Las entidades de certificación guberna- mentales se integrarán en las Autoridades Nacionales de Certificación de la Ciberseguridad o funcionarán bajo su delegación. El resto de entidades depen- derán del esquema en el que operen. Según el Reglamento, deberán cesar su operación en el caso de que exista un Esquema Europeo que solape su actividad, pudiendo acreditarse entonces en él. El Marco Europeo plantea tres nive- les de garantía: básico, sustancial y elevado. ¿Para qué tipo de servicio, proceso o producto sería cada uno de ellos? En el caso de las infraestruc- turas estratégicas, ¿se prevé hacer obligatorio adquirir soluciones certifi- cadas en ese nivel elevado? La posibilidad de certificar productos, procesos y servicios con tres niveles de profundidad en la evaluación permitirá configurar los diferentes esquemas en función de las necesidades y del análisis de riesgos correspondiente. La Comisión podría hacer obligatorio, por ejemplo, que los productos destinados a proporcionar los servicios críticos de las infraestructu- ras estratégicas estuviesen certificados en nivel alto. De todos modos, aunque la Comisión no haga obligatoria la certifica- ción, el Reglamento también apunta que puede haber reglamentación nacional que sí obligue. ¿Qué plazos manejan para adaptar el esquema nacional al europeo? La larga experiencia en procesos de certificación y el nivel de compromiso del CCN en los diversos grupos internaciona- les y europeos hace relativamente sencilla su adaptación a la nueva regulación. Los plazos serán los que vaya abriendo la Comisión para la creación de las estruc- turas europeas y nacionales. ¿Qué acciones llevará a cabo el CCN para ayudar a adaptarse al Esquema Europeo de Ciberseguridad a las empresas que quieran adherirse a él? El CCN continuará, como hasta ahora, resolviendo las dudas y acompañando a las empresas que quieran certificar la seguridad de sus productos y a las que quieran acreditarse como laboratorios de ensayo o entidades que emiten certifica- dos bajo nuestra autoridad nacional. "Podrá darse respuesta a la certificación en diferentes mercados verticales" Luis Jiménez, subdirector general del CCN, aclara algunas dudas en torno al nuevo Marco Europeo de Certificación crea- do a instancias del Reglamento sobre la Ciberseguridad. Luis Jiménez Subdirector general del Centro Criptológico Nacional