La UE ha adoptado su primer esquema de Certificación de Ciberseguridad como parte de los esfuerzos para impulsar la ciberseguridad de los productos y servicios de TI en todos los estados miembros.
El Esquema Europeo de Ciberseguridad sobre Criterios Comunes (EUCC) fue elaborado por la Agencia de Ciberseguridad de la Unión Europea (ENISA) en coordinación con los estados miembros.
El plan voluntario, que se enmarca en la certificación de ciberseguridad de la UE, sustituirá las certificaciones nacionales de ciberseguridad actuales tras un período de transición.
El EUCC permitirá a los proveedores de TIC pasar por un proceso de evaluación comúnmente entendido en la UE para demostrar la garantía de ciberseguridad para productos digitales como componentes tecnológicos, hardware y software.
Los estándares para toda la Unión están diseñados para ayudar a los proveedores europeos de TIC a competir en los mercados nacionales, de la UE y globales, incentivando a los proveedores a mejorar su seguridad.
El EUCC propone dos niveles de garantía basados en el nivel de riesgo asociado con el uso previsto del producto, servicio o proceso. Este nivel de riesgo se calcula en función de la probabilidad y el impacto de un accidente.
Sus requisitos se basan en el marco de evaluación de Criterios Comunes SOG-IS que ya se utiliza en 17 Estados miembros de la UE.
El anuncio de la UE sigue a una serie de actividades legislativas en ciberseguridad por parte del organismo supranacional. En diciembre de 2023, llegó a un acuerdo sobre la Ley de Resiliencia Cibernética (CRA), cuyo objetivo es introducir requisitos de seguridad para los fabricantes de dispositivos conectados dentro de la Unión.
En enero de 2023, la UE actualizó su Directiva sobre seguridad de la información y las redes (NIS2), imponiendo estándares comunes de ciberseguridad a las organizaciones industriales críticas. La fecha límite para la transposición de las disposiciones a la legislación nacional de los estados miembros es el 17 de octubre de 2024.
Además, el año pasado, se actualizó la certificación ISO/IEC 27001 para reflejar nuevas prácticas comerciales y una mayor dependencia de los servicios en la nube.