En 2019 se sentaron las bases del nuevo reglamento europeo Cybersecurity Act, que refuerza la capacidad de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) y establece un estándar europeo de certificación en ciberseguridad.
La Cybersecurity Act o CSA, marca tres niveles de garantía (básico, sustancial y alto) que permitirán la evaluación de sistemas, procesos y productos.
En los últimos años, el mercado de las TIC se ha desarrollado hacia un enfoque basado en la nube o cloud. Este cambio, junto con el panorama legal y normativo que evoluciona rápidamente, ha tenido un gran impacto en la garantía, la gobernanza y el cumplimiento de la ciberseguridad.
Los actores de este mercado han tratado en los últimos años de proporcionar soluciones adecuadas para hacer frente a desafíos como la falta de medios para proporcionar un mayor nivel de privacidad y transparencia, así como para agilizar la gestión de riesgos y el cumplimiento normativo. En el espacio de certificación, esto dio lugar a la proliferación de distintas iniciativas, lo que generó cierta confusión.
Para paliar este problema, durante 2019 se sentaron las bases del nuevo Reglamento europeo Cybersecurity Act, que refuerza la capacidad de la Agencia de la Unión Europea para la Ciberseguridad (ENISA). Su objetivo era emitir un estándar europeo de certificación en ciberseguridad (EU-SEC, European Security Certification Framework) para productos y servicios, fomentar así mismo la competitividad de las empresas en este terreno e incentivar la entrada de nuevos proveedores.
La normativa tiene como objeto el refuerzo de la seguridad europea de los dispositivos y así proteger a los ciudadanos europeos. La Cybersecurity Act es el primer reglamento europeo que incluye normas sobre la introducción en el mercado de productos con elementos digitales para garantizar su ciberseguridad y también introduce requisitos en el diseño, desarrollo y fabricación de este tipo de dispositivos, así como obligaciones de los agentes económicos.
Además, el Reglamento incluye un conjunto de directrices en la forma de tratar los puntos vulnerables establecidos por los fabricantes para asegurar la ciberseguridad de los elementos referidos, incluyendo las tecnologías operacionales, durante todo su ciclo de vida útil. Es decir, los fabricantes están obligados a notificar los puntos vulnerables y los incidentes que pueden provocar en la seguridad de los usuarios.
Al final, lo que se pretende con la normativa es que los estados que conforman la Unión Europea puedan tener un apoyo más eficaz a la hora de luchar contra las amenazas. Con la creación de este marco, los dirigentes europeos consideran que se ha creado un marco adecuado de certificación de la ciberseguridad que impulsará el mercado único digital para los productos, servicios y procesos de TIC, puesto que los certificados emitidos por cualquiera de los países que conforman la UE serán válidos en todos ellos.
Las tres ideas centrales del proyecto EU-SEC para la creación de un marco europeo que homologa ese estándar eran equilibrar las necesidades de las naciones y los sectores empresariales; evitar que los humanos asuman actividades que pueden ser realizadas por máquinas como, por ejemplo, recopilar datos; y asegurar que se brinde información precisa y fiable a las personas relevantes.
EU-SEC se ha desarrollado bajo una doble vertiente de cliente: una enfocada hacia las finanzas, liderada por CaixaBank; y otra dirigida hacia el ámbito de la administración pública, en la que han colaborado los gobiernos de Eslovenia y de Eslovaquia.
Así mismo, para cubrir los diversos aspectos que una certificación de este tipo exigiría, en EU-SEC han participado un total de nueve empresas e instituciones internacionales entre las que se integran especialistas del sector financiero y de la administración pública, investigadores tecnológicos, proveedores de cloud, auditores y expertos en ciberseguridad.
El equipo investigador del proyecto EU-SEC, integrado por 25 personas de 11 nacionalidades diferentes y procedentes de múltiples disciplinas (finanzas, administración pública, auditoría, ciberseguridad, tecnología…), ha empleado tres años de trabajo y una inversión total de 3 millones de euros.
La Cybersecurity Act o CSA marca tres niveles de garantía (básico, sustancial y alto) que permitirán la evaluación de sistemas, procesos y productos. El objetivo básico, prioritario ante el incremento de los ataques basados en ingeniería social inversa, es prevenir ataques pasivos en dispositivos de bajo coste; el del sustancial, prevenir ataques escalables en dispositivos de coste medio y alto; y el del alto, preservar la soberanía y proteger al ciudadano y a la industria de organizaciones criminales.
Si bien está previsto que la certificación siga siendo voluntaria en el nivel «básico», este 2023 ENISA determinará la obligatoriedad de ciertos esquemas para los elementos de TIC de alto riesgo.
En este escenario y, especialmente ante el aumento de los ciberataques asociado al conflicto entre Ucrania y Rusia, es crítico para las empresas, especialmente en sectores como el energético, blanco prioritario de ataques, contar con un partner con un enfoque integral de la ciberseguridad y una gama completa de soluciones.
La propuesta Cloud & Cybersegurity by aggity está específicamente diseñada para asegurar la seguridad, integridad y continuidad operativa de los elementos tecnológicos, así como de los procesos y los profesionales. Se trata de un conjunto de herramientas que permiten gestionar y dar seguimiento a la seguridad y continuidad de todos los elementos tecnológicos, procesos y personas relacionados dentro del proceso de transformación digital. Incluye, además, servicios avanzados como, por ejemplo, hacking ético y pruebas de penetración.
A pesar de que la Cybersecurity Act ya tiene tres años desde que fue aprobada, la Unión Europea lleva tiempo preocupada por la protección de los entornos digitales. Una de las propuestas más importantes es la aprobación de la Directiva NIS2 de diciembre de 2022 y con la que se quieren eliminar las divergencias que existen entre los Estados miembros en la aplicación de la directiva sobre la seguridad de las redes y sistemas de información, conocida como Directiva NIS, de 2016.
Con ese objetivo se han redactado un conjunto de normas mínimas relativas al funcionamiento de un marco regulador coordinado y al establecimiento de mecanismos para que las autoridades competentes de cada Estado miembro cooperen de manera eficaz. Se incluye así mismo la actualización de la lista de sectores y actividades sujetos a las obligaciones de ciberseguridad y la disponibilidad de vías de recurso y medidas de ejecución eficaces, fundamentales para garantizar el cumplimiento efectivo de dichas obligaciones.
