EUCC en práctica: Cómo el nuevo esquema de la UE aumenta la línea base de seguridad de los productos ICT
Por qué el EUCC es importante para el cumplimiento de productos TIC
Antes de la EUCC, un fabricante que vendía en varios Estados miembros de la UE se enfrentaba a menudo a un conjunto diferente de aros en cada país. El reconocimiento mutuo existía sobre el papel bajo SOG-IS, pero las incoherencias en la forma en que los esquemas interpretaron los requisitos hicieron que el proceso fuera menos predecible de lo que debería haber sido. regulación de ciberseguridad de la UE, se ha movido a arreglar esto. Como se cubre en nuestra anterior visión general de EUCC: Un nuevo esquema de Cybersecurity para la certificación de productos ICT en Europa, el esquema se construye alrededor de un objetivo simple: los productos ICT colocados en el mercado de la UE deben cumplir con coherencia, Requisitos de ciberseguridad verificados independientemente. Un certificado, emitido por un organismo acreditado, debería ser suficiente. El esquema lo sustenta a través de la evaluación de conformidad obligatoria por las instalaciones de evaluación de la seguridad de TI reconocidas (ITSEFs) y las autoridades nacionales de certificación de ciberseguridad (NCCAs).
Sustancial y Alto: Dos niveles de Seguro, Una lógica basada en el riesgo
El cambio más significativo que introduce el EUCC es cómo se define la garantía. Bajo el antiguo sistema de CC, muchos equipos se concentraban en alcanzar un determinado número EAL. El EUCC reorienta ese enfoque: el nivel de garantía adecuado se determina por el perfil de riesgo del uso previsto del producto, no por cuán ambicioso quiera parecer el equipo.
El esquema se mapea en dos niveles:
Nivel de seguro sustancial cubre EAL1 a EAL3 y requiere análisis de vulnerabilidad en AVA_VAN. o AVA_VAN.2. Se espera que los productos de este nivel manejen amenazas comunes de atacantes con capacidades limitadas.
Alto nivel de seguro cubre EAL4 a EAL7 y requiere pruebas más rigurosas en AVA_VAN.3 o superior. Este nivel se aplica a productos en los que una infracción podría tener graves consecuencias: tarjetas inteligentes, módulos de seguridad de hardware, equipos críticos de red.
Como se exploró en nuestro artículo sobre Qué "Substantial" y "High" Media real para la seguridad ICT, elegir el nivel equivocado es un error común y caro. Ingeniería excesiva en Alta cuando el perfil de riesgo se ajusta al desperdicio de recursos. El alcance bajo en substancial cuando un producto maneja funciones críticas crea un vacío de certificación que se superará durante la lucha contra el mercado.
El Alineamiento de Criterio Común: ISO 15408 en el contexto EUCC
La columna vertebral técnica del EUCC es Common Criteria, publicada formalmente como ISO 15408. Esta no es una norma nueva. Los gobiernos y los organismos de contratación pública han confiado en ello durante décadas. Lo que hace la EUCC es introducir esa misma metodología de evaluación en la legislación de la UE, dotándola de poder reglamentario.
Algunas cosas vale la pena entender cómo funciona la ISO 15408 en el EUCC:
Cada evaluación comienza con un Objetivo de seguridad (ST) — el documento que define exactamente qué funciones de seguridad se están evaluando y qué requisitos de seguridad aplican.
Los productos pueden adaptarse opcionalmente a un perfil de protección (PP), un conjunto predefinido de requisitos de seguridad para una categoría de productos. Cuando existen los PPs pertinentes, la conformidad simplifica la evaluación e incrementa el reconocimiento mutuo.
La metodología de garantía (siguiente a CC2022, que reemplazó a CCv3. Rev 5) ahora incluye explícitamente requisitos de ciclo de vida: gestión de parches, procesos de revelación de vulnerabilidades y monitoreo continuo son parte de lo que se evalúa.
Para un recorrido detallado de estas clases de evaluación, nuestra pieza en Niveles de Aseguros Comunes de Criterios cubre cada etapa en términos prácticos. La clave para llevar: la documentación no es sólo papeleo, sino evidencia. Qué revisiones de ITSEF durante la evaluación tiene que mantener el control por parte del organismo de certificación.
EUCC dentro del Broader EU Digital Security Framework
El EUCC no existe aisladamente. Forma parte de una arquitectura legislativa más amplia que incluye la Ley de Resiliencia Cibernética (CRA), la Directiva NIS2 y los requisitos específicos del sector en áreas como eIDAS 2.0.
La conexión con el CRA es relevante para los fabricantes del ICT de forma concreta. Los productos certificados bajo EUCC a nivel substancial o superior califican para una presunción de conformidad con los requisitos CRA. una ventaja operativa significativa cuando se enfrenta a la fecha límite de presentación de informes CRA del 11 de septiembre de 2026. Como se explica en nuestra comparación de Implementando EUCC: Qué Requiere Certificación de Alto Aseguramiento Más allá de los criterios tradicionales comunes aproximados, los dos frameworks no son hurdls separados; se refuerzan mutuamente.
También aquí existe una dimensión de planificación futura. EUCC está diseñado para ser la plantilla de procedimiento y legal para los próximos esquemas específicos del sector, certificación de servicios en la nube (EUCS), seguridad de red de 5G y sistemas potencialmente de IA. Invertir en procesos seguros por diseño y robustos garantía de seguridad ICT crea ahora una infraestructura reutilizable. Como se observa en Abordando brechas en la Certificación Europea de Seguridad Cibernética, el esquema es una base, no un ceiling.
Summary
Obtener la certificación EUCC para sus productos TIC es más que un punto de verificación reglamentario; es una señal para el mercado. Al alinearse con el Esquema de Certificación de Ciberseguridad de la UE y sus niveles de garantía Sustancial y Alta basados en riesgos, los fabricantes pueden abordar la evaluación de conformidad con confianza y construir productos que cumplan con las expectativas cambiantes de garantía de seguridad TIC de la UE desde el primer día.
Cómo QIMA CCLab puede ayudarte a alcanzar tus metas
En QIMA CCLab, somos un Mecanismo de Evaluación de Seguridad de TI acreditado (ITSEF) bajo TrustCB en el Sistema Europeo de Certificación de Ciberseguridad sobre Criterios Comunes (EUCC), que operan en el nivel de garantía sustancial. Apoyamos a los fabricantes y patrocinadores de productos ICT a lo largo del proceso de certificación EUCCC:
Evaluación de criterios comunes: Ofrecemos proyectos de evaluación EAL4+ dentro de 4 meses, apoyando tanto las transiciones de esquemas nacionales como las nuevas certificaciones EUCC.
Consulta de criterios comunes: Ayudamos a los fabricantes a preparar toda la documentación requerida: Objetivos de seguridad, pruebas de diseño, y materiales de gestión de ciclos de vida — alineados a los requisitos de EUCC.
Soporte de certificación ciberseguridad: Desde evaluaciones previas a la evaluación hasta apoyo de presentaciones, nuestros expertos le guiarán a través de cada etapa del proceso de evaluación de conformidad.
FAQ
¿Qué es el EUCC?
El Sistema de Certificación Ciberseguridad de la UE basado en Criterios Comunes (EUCC) es un marco de certificación desarrollado bajo la Ley de Ciberseguridad de la UE. Armoniza las evaluaciones basadas en CC en todos los Estados miembros de la UE y reemplazará ciertos acuerdos nacionales de certificación de seguridad cibernética, ofreciendo una vía estandarizada de reconocimiento en toda la UE.
¿Cuáles son los dos niveles de garantía bajo el EUCC?
El EUCC define dos niveles de seguridad: Sustancial (cubriendo EAL1 to EAL3, requiriendo AVA_VAN.1 o AVA_VAN.2) y Alto (cubriendo EAL4 to EAL7, requiriendo AVA_VAN. El nivel adecuado está determinado por el riesgo asociado con el uso previsto del producto.
¿Quién está involucrado en el proceso de evaluación del EUCCC?
Tres partes están involucradas: el proveedor o patrocinador, que participa en un laboratorio acreditado y presenta el producto y sus evidencias; el laboratorio (ITSEF), que realiza la evaluación e informa de los resultados al organismo de certificación; y el esquema —la Autoridad Nacional de Certificación de Ciberseguridad— que emite el certificado y supervisa el trabajo del laboratorio.
¿Qué cubre realmente una evaluación EUCC?
Las actividades de evaluación incluyen la revisión del Objetivo de Seguridad, documentación de desarrollo (diseño y arquitectura), materiales de guía, prácticas de ciclo de vida (gestión de parches, gestión de configuración, entrega), pruebas funcionales y análisis de vulnerabilidades o pruebas de penetración. El alcance de cada actividad depende del EAL elegido.
¿Cuánto tiempo es válida una certificación EUCC?
Los certificados emitidos en virtud del EUCC son válidos por un máximo de cinco años. Los certificados emitidos en virtud de los sistemas nacionales de CC durante el período de transición también siguen siendo válidos durante cinco años, incluso después de que el EUCC entrara en vigor en febrero de 2025.
Related Articles
