El pasado 7 de junio fue publicado el Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo de 17 de abril de 2019 relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 («Reglamento sobre la Ciberseguridad»).

Propósitos fundamentales del Reglamento Europeo de Ciberseguridad

Este nuevo marco europeo tiene dos propósitos fundamentales.

• Por un lado, establece los objetivos, tareas y aspectos organizativos de ENISA (la Agencia Europea en materia de Ciberseguridad)
• Por otro lado, da soporte al marco para la creación de esquemas europeos de certificación de la ciberseguridad, con el objetivo de garantizar un adecuado nivel de ciberseguridad en los productos, servicios y procesos TIC en la UE.

Impacto del Reglamento Europeo de Ciberseguridad

Este nuevo Reglamento entró en vigor el 27 de junio de 2019 y aunque con menor repercusión mediática que el famoso Reglamento General de Protección de Datos (RGPD), puede tener un impacto muy relevante en el sector tecnológico. Basta leer los considerandos del Reglamento para ver su alcance y cómo supone una apuesta estratégica de la Unión Europea por la ciberseguridad como pilar fundamental para asegurar la resiliencia en la sociedad del siglo XXI.

Los ciberataques van en aumento, y una economía y una sociedad conectadas, más vulnerables a las ciberamenazas y los ciberataques, requieren unas defensas más sólidas. En el momento en el que las organizaciones se ven inmersas en la transformación digital y se inician los proyectos de despliegue del Internet de las cosas, (IoT o Internet of things), es preciso adoptar todas las medidas necesarias para mejorar la ciberseguridad en la Unión a fin de proteger mejor de las ciberamenazas a las redes y los sistemas de información, las redes de telecomunicaciones y los productos, los servicios y dispositivos digitales utilizados por los ciudadanos, las organizaciones y las empresas, desde las pequeñas y medianas empresas (pymes).

¿Qué determina el Reglamento Europeo de Ciberseguridad?

El Reglamento determina el nuevo papel que debe asumir ENISA y que lo confiere como el actor que va a ser el punto de referencia y conocimiento especializado en la UE.

Las tareas asignadas a ENISA incluyen:

• Contribuir a la elaboración y ejecución de la política y del derecho de la Unión;
• Asistir a la creación de capacidades de ciberseguridad;
• Apoyar la cooperación entre los Estados miembros, las instituciones, órganos y organismos de la Unión y entre las partes interesadas (CERT-UE, red de CSIRT, ejercicios de ciberseguridad, informes sobre la situación de ciberseguridad, respuesta cooperativa);
• Mercado, certificación de la ciberseguridad y normalización;
• Conocimiento e información;
• Sensibilización y educación;
• Investigación e innovación;
• Cooperación internacional.

Otros elementos del Reglamento Europeo de Ciberseguridad

El otro gran elemento que este Reglamento aborda tiene por objetivo la construcción de un entorno que permita acreditar la confianza de productos, servicios y procesos de TIC en materia de ciberseguridad. Para ello, se pretende crear un marco europeo de certificación de la ciberseguridad que persigue un planteamiento armonizado de esquemas europeos de certificación de la ciberseguridad en la UE. Este marco europeo de certificación de la ciberseguridad define un mecanismo para establecer esquemas europeos de certificación de la ciberseguridad, y para confirmar que los productos, servicios y procesos de TIC que hayan sido evaluados con arreglo a dichos esquemas cumplen los requisitos de seguridad especificados con el objetivo de proteger la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o procesados o las funciones o servicios que ofrecen, o a los que permiten acceder, dichos productos, servicios y procesos durante todo su ciclo de vida.

La evaluación certificada de la conformidad es el procedimiento por el que se evalúa si se han cumplido los requisitos especificados en relación con un proceso, producto o servicio de TIC. Para llevar a cabo este procedimiento es necesario un tercero independiente, que no sea el fabricante del producto ni el proveedor del producto, servicio o proceso de TIC que está siendo evaluado.

Un certificado europeo de ciberseguridad debe considerarse una confirmación de que la evaluación se ha llevado a cabo de forma apropiada. La evaluación de la conformidad y la certificación no pueden garantizar por sí mismas la ciberseguridad de los productos, servicios y procesos de TIC certificados. Se trata más bien de un procedimiento y una metodología técnica que garantizan que los productos, servicios y procesos de TIC han sido sometidos a ensayo y cumplen determinados requisitos de ciberseguridad establecidos en otro lugar, por ejemplo en las normas técnicas.

Reglamento Europeo de Ciberseguridad y RGPD

Como puede intuirse, este Reglamento Europeo de Ciberseguridad supone un complemento al Reglamento Europeo de Protección de Datos y aclara uno de los aspectos clave que en ambos textos normativos se pretende garantizar: la seguridad por diseño y por defecto. Como vemos, Europa se decanta por el marco de la certificación con dos propuestas claras que deben servir para acreditar la confianza.

• La certificación RGPD (como desarrollo del artículo 42) que permitirá a las Organizaciones acreditar el conjunto de requisitos organizativos, jurídicos y técnicos para poder demostrar un cumplimiento diligente del RGPD.
• La certificación en Ciberseguridad (planteada por este Reglamento) que permitirá demostrar las garantías que ofrecen los productos, servicios y procesos TIC de fabricantes y organizaciones.

Inicialmente ambos entornos de certificación se plantean como un valor diferenciador que permite a las organizaciones una diferenciación de excelencia, pero quizás en el futuro, algunos sectores determinen la obligatoriedad de algunos de estos requisitos vinculado a la criticidad del sector en el que operan. Podemos pensar en el sector salud o la gestión de entornos críticos según los criterios establecidos por la Directiva NIS. Se inicia así el camino necesario para evitar situaciones de gran peligro debido a la altísima dependencia que vamos otorgando a las TIC en la gestión de la sociedad del siglo XXI.

Referencias:

Reglamento Europeo de Ciberseguridad.

• https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32019R0881&from=EN

Agencia Europea de Ciberseguridad (ENISA).

https://www.enisa.europa.eu/

Fuente de la imagen: https://www.enisa.europa.eu/news/enisa-news/the-eu-cybersecurity-act-a-new-era-dawns-on-enisa/@@images/28cf0992-dfa4-40d2-8c9b-d18dd20227e3.png

El Equipo Govertis