En 2019 se sentaron las bases del nuevo reglamento europeo Cibersecurity Act, que refuerza la capacidad de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) y establece un estándar europeo de certificación en ciberseguridad.
La Cybersecurity Act o CSA, marca tres niveles de garantía (básico, sustancial y alto) que permitirán la evaluación de sistemas, procesos y productos.
En los últimos años, el mercado de las TIC se ha desarrollado hacia un enfoque basado en la nube o cloud. Este cambio, junto con el panorama legal y normativo que evoluciona rápidamente, ha tenido un gran impacto en la garantía, la gobernanza y el cumplimiento de la ciberseguridad.
Los actores de este mercado han tratado en los últimos años de proporcionar soluciones adecuadas para hacer frente a problemas como la falta de medios para proporcionar un mayor nivel de privacidad y transparencia y para agilizar la gestión de riesgos y su cumplimiento. En el espacio de certificación, esto dio lugar a la proliferación de distintas iniciativas, lo que generó cierta confusión.
Para paliar este problema, durante 2019 se sentaron las bases del nuevo reglamento europeo Cibersecurity Act, que refuerza la capacidad de la Agencia de la Unión Europea para la Ciberseguridad (ENISA). Su objetivo era emitir un estándar europeo de certificación en ciberseguridad (EU-SEC, European Security Certification Framework) para productos y servicios, fomentar así mismo la competitividad de las empresas en este terreno e incentivar la entrada de nuevos proveedores.
Las tres ideas centrales del proyecto EU-SEC para la creación de un marco europeo que homologa ese estándar eran equilibrar las necesidades de las naciones y los sectores empresariales; evitar que los humanos asuman actividades que pueden ser realizadas por máquinas como, por ejemplo, recopilar datos; y asegurar que se brinde información precisa y fiable a las personas relevantes.
EU-SEC se ha desarrollado bajo una doble vertiente de cliente: una enfocada hacia las finanzas, liderada por CaixaBank; y otra dirigida hacia el ámbito de la administración pública, en la que han colaborado los gobiernos de Eslovenia y de Eslovaquia.
Así mismo, para cubrir los diversos aspectos que una certificación de este tipo exigiría, en EU-SEC han participado un total de nueve empresas e instituciones internacionales entre las que se integran especialistas del sector financiero y de la administración pública, investigadores tecnológicos, proveedores de cloud, auditores y expertos en ciberseguridad.
El equipo investigador del proyecto EU-SEC, integrado por 25 personas de 11 nacionalidades diferentes y procedentes de múltiples disciplinas (finanzas, administración pública, auditoría, ciberseguridad, tecnología…), ha empleado tres años de trabajo y una inversión total de 3 millones de euros.
La Cybersecurity Act, o CSA, marca tres niveles de garantía (básico, sustancial y alto) que permitirán la evaluación de sistemas, procesos y productos. El objetivo del básico es prevenir ataques pasivos en dispositivos de bajo coste; el del sustancial, prevenir ataques escalables en dispositivos de coste medio y alto; y el del alto, preservar la soberanía y proteger al ciudadano y a la industria de organizaciones criminales.
Si bien está previsto que la certificación siga siendo voluntaria en el nivel «básico», en 2023 ENISA determinará la obligatoriedad de ciertos esquemas para los elementos de TIC de alto riesgo.
En este escenario, y especialmente ante el aumento de los ciberataques asociado al conflicto entre Ucrania y Rusia, es crítico contar con un partner con un enfoque integral de la ciberseguridad y una gama completa de soluciones, como Tool Security Suite, específicamente diseñada para asegurar la seguridad, integridad y continuidad operativa de los elementos tecnológicos, así de los procesos y los profesionales.
