Reglamento Cyberseguridad

Artículo

Construcción del liderazgo europeo en ciberseguridad

Reglamento sobre la ciberseguridad

Últimamente escuchamos con más frecuencia noticias sobre ciberataques, hackeos en aplicaciones o robos de contraseñas. En este artículo te presentamos el REGLAMENTO (UE) 2019/881 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 17 de abril de 2019 relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) nº 526/2013 («Reglamento sobre la Ciberseguridad»), que junto a otras regulaciones recientes como la Directiva NIS, sientan las bases para proteger a las empresas y a la sociedad desde el punto de vista de la ciberseguridad.

La finalidad de este Reglamento es fortalecer la figura de ENISA y establecer las bases para la creación de esquemas de certificación en ciberseguridad, a efectos de garantizar un nivel adecuado de ciberseguridad de los productos, servicios y procesos de TIC en la Unión.

Fortalecimiento de la ENISA

En relación a la ENISA, se define una estructura administrativa que velará por la gestión de la propia Agencia de Ciberseguridad de la UE, de forma que pueda alcanzar los siguientes objetivos:

  • Ser un centro de conocimientos técnicos sobre ciberseguridad.
  • Asistir a las instituciones, órganos y organismos de la Unión en la elaboración y aplicación de políticas de la Unión en materia de ciberseguridad.
  • Prestar su apoyo a la creación de capacidades y a la preparación de toda la Unión.
  • Fomentar la cooperación entre los Estados miembros y diferentes organismos.
  • Contribuir a incrementar las capacidades de ciberseguridad.
  • Promover el uso de la certificación europea de ciberseguridad.
  • Promover un alto nivel de sensibilización.

Esquemas de Certificación de la Ciberseguridad

Por otra parte, en lo que afecta al establecimiento del marco para la creación de esquemas de certificación, se establecerá un programa de trabajo evolutivo que fijará las prioridades estratégicas para estos futuros esquemas, de forma que pueda conocerse por anticipado cuáles serán publicados.

Asimismo, en este programa se incluirán una lista de productos, servicios y procesos TIC (o categorías de los mismos) que podrían ser incluidos en el ámbito de aplicación de un esquema, facilitando así su identificación.

Este primer trabajo evolutivo se publicará como tarde el 10 de junio de 2020, y se actualizará al menos cada 3 años.

Como aspecto destacable dentro de los futuros esquemas, además de la certificación que deben obtener los fabricantes o proveedores, también tendrán que aportar un conjunto de información que permita a los usuarios conocer y mantener el nivel de seguridad, entre los que se deben incluir los siguientes puntos:

  • Recomendaciones para ayudar a los usuarios finales con la configuración, la instalación, el despliegue, el funcionamiento y el mantenimiento seguros de los productos o servicios de TIC.
  • Disponibilidad de actualizaciones relacionadas con la ciberseguridad.
  • Datos de contacto del fabricante o proveedor y métodos aceptados para recibir información sobre vulnerabilidades de usuarios finales o investigadores en materia de seguridad.
  • Una referencia a los registros en línea en los que consten las vulnerabilidades conocidas públicamente en relación con el producto, servicio o proceso de TIC, así como recomendaciones pertinentes en materia de ciberseguridad.

Además de todo este proceso para conseguir certificar un producto, servicio o proceso, una vez obtenido dicho certificado, los fabricantes y proveedores, deberán informar a la autoridad u organismo de cualquier vulnerabilidad o irregularidad detectada posteriormente a la obtención del mismo, sin demora indebida.

Conclusiones

La finalidad de este reglamento es fortalecer la figura de ENISA y establecer las bases para la creación de esquemas de certificación en ciberseguridad. Esto favorecerá el desarrollo del Mercado Único Digital y estará ligado al aumento de la sensibilización que el consumidor en relación a un producto, servicio o proceso certificado. A partir de ahora, una vez que ha entrado en vigor el Reglamento, deben definirse los esquemas de certificación a los que es posible adherirse.

En todo caso, cabe destacar que esto no debe crear una falsa sensación de seguridad en los usuarios al disponer de un producto, servicio o proceso etiquetado con una certificación concreta, de forma que no lo utilicen basándose en buenas prácticas. Es por ello que, además de la creación de estos esquemas, debe seguir reforzándose la concienciación y sensibilización del usuario en un uso correcto desde el punto de vista de la ciberseguridad.