Implementación de EUCC: Lo que requiere una certificación de alta fiabilidad más allá de los criterios tradicionales comunes de aproximación
La certificación de alta fiabilidad para los productos de seguridad cibernética en Europa ha entrado en una nueva era con la adopción del sistema europeo de certificación de ciberseguridad basado en criterios comunes (EUCC). Adoptado formalmente por la Agencia de la Unión Europea para la Ciberseguridad (ISA) a principios de 2024, el CEEF se basa en el marco de evaluación de criterios comunes de SOG-IS que ya se ha probado en 17 Estados miembros de la UE.
El esquema representa una evolución significativa en el enfoque de la UE hacia el cumplimiento de la ciberseguridad, formando parte de un esfuerzo legislativo más amplio que se alinea con la Directiva NIS2 y la Ley de Resiliencia Cibernética. Es importante destacar que EUCC introduce dos niveles distintos de aseguramiento basados en el nivel de riesgo asociado con el uso previsto de productos, servicios o procesos. Como se destacó en nuestra visión general anterior de niveles de aseguramiento y metodología de Common Criteria, comprender estos niveles es fundamental para navegar el proceso de evaluación. Además, las certificaciones bajo este nuevo marco son válidas por hasta cinco años, aunque se requieren actualizaciones cuando ocurren cambios en el producto certificado. El Grupo Europeo de Certificación de Ciberseguridad jugará un papel esencial en mantener este esquema, garantizando su relevancia y efectividad continuas. Además, a medida que las organizaciones se preparan para enfrentar estos nuevos requisitos, comprender cómo difiere EUCC de los enfoques tradicionales de Common Criteria se vuelve crucial para lograr el cumplimiento y mejorar la postura de seguridad.
Entendiendo el cambio: De CC Tradicional a EUCC
El panorama europeo de la ciberseguridad se ha caracterizado históricamente por la fragmentación, con diferentes países que aplican sus propios sistemas de certificación y normas. Este enfoque de mosaicos generó importantes retos tanto para los fabricantes como para los consumidores, lo que necesitaba un marco más unificado.
Por qué se introdujo el EUCC
La Certificación Ciberseguridad de la Unión Europea (EUCC) surgió principalmente en respuesta a las crecientes amenazas a la ciberseguridad y a las incómodas consecuencias de un paisaje de certificación fragmentado dentro de la UE. Antes de la EUCC, varios países europeos operaron con sus propios esquemas de certificación de evaluación de Criterios Comunes bajo SOG-IS, crear barreras para las empresas que operan en múltiples países. El esquema fue concebido en virtud de la Ley de Ciberseguridad de 2019 para establecer un marco global y unificado que mejore los estándares de ciberseguridad. crea un entorno digital más seguro y facilita un comercio más fluido en toda la Unión Europea.
Limitaciones de los Criterios Comunes tradicionales
Históricamente, Common Criteria (CC) fue diseñado para un mundo "envuelto" donde la seguridad fue evaluada contra una versión estática de un producto físico o digital. A medida que la tecnología se desplazaba hacia la nube, se hicieron evidentes varias "lagunas" estructurales en el marco tradicional de la CC. Esta es la razón por la que existían esas limitaciones y la forma en que la industria está intentando arreglarlas actualmente:
Diferencia entre "Punto en el Tiempo" y Entrega Continua:
CC tradicional: Las evaluaciones son estáticas. Una vez que un producto está certificado (por ejemplo, EAL4), esa versión específica es segura. Si un proveedor cambia el código, a menudo tienen que someterse a un costoso proceso de "Continencia de Seguridad".
Realidad del SaaS: Los servicios en la nube y los productos SaaS utilizan cadenas de CI/CD (Integración Continua/Implementación Continua), actualizando el código semanal o incluso diariamente. El CC tradicional no puede seguir este ritmo sin que el certificado quede obsoleto inmediatamente.
Desafíos sistémicos y de mercado
Más allá del desajuste técnico con la nube, el marco tradicional se enfrentaba a varias otras limitaciones críticas:
Estándares inconsistentes: Creó estándares de seguridad inconsistentes en todos los estados miembros a pesar de usar metodologías similares.
Faltan las disposiciones modernas: El framework acopló provisiones para desafíos emergentes como gestión de parches y revelación de vulnerabilidades, que son esenciales para mantener la seguridad en tiempo real.
Fragmentación del Mercado: Se requería que los fabricantes navegaran por múltiples procesos de certificación para diferentes mercados de la UE, aumentando las cargas administrativas y los costos.
Más allá, con el rápido crecimiento de la computación en la nube y una creciente dependencia de estos servicios en infraestructura crítica, el marco tradicional se volvió cada vez más obsoleto.
Cómo funciona EUCC con la Ley de Ciberseguridad
El EUCC representa el primer esquema de certificación desarrollado bajo el marco de certificación Cybersecurity Act. Armoniza la certificación en toda Europa, asegurando que todos los productos y servicios de ICT cumplan con una prueba de rendimiento de seguridad unificada. Esencialmente, el plan sirve como vehículo para transmitir requisitos desde el nivel de la política de la UE a la prestación de servicios industriales y más a los usuarios y a los organismos de evaluación de la conformidad.
El esquema introduce dos niveles de garantía basados en el nivel de riesgo asociado con el uso previsto: "sustancial" (que cubre EAL1 a EAL3) y "alto" (cubre EAL4 a EAL7). Este enfoque basado en el riesgo es perfectamente compatible con el objetivo de la Cybersecurity Act de establecer niveles apropiados de seguridad para diferentes escenarios. Al aplicar este enfoque armonizado, el EUCC elimina las incoherencias anteriores, simplifica el entorno regulador de los fabricantes y aumenta la confianza de los consumidores en la seguridad de los productos ICT.
romper los niveles de garantía
Niveles de Aseguramiento Comunes de Criterio
El marco EUCC establece una estructura clara de dos niveles para la certificación de garantía que asigna directamente las metodologías de evaluación de Criterios Comunes existentes, al tiempo que introduce importantes distinciones en el enfoque. Este mapeo crea un camino directo para los fabricantes que ya están familiarizados con los procesos tradicionales de CC.
Seguro substancial: EAL1 a EAL3
El nivel de seguro sustancial corresponde a los niveles de de Evaluación menor (EAL1 hasta EAL3) y específicamente engloba los componentes de evaluación de vulnerabilidades AVA_VAN. y AVA_VAN.2. A este nivel, las evaluaciones se centran en la identificación básica de vulnerabilidades de seguridad mediante un examen directo y pruebas. Específicamente, la evaluación pretende confirmar "la ausencia de vulnerabilidades conocidas públicamente" y verificar que las funcionalidades de seguridad están correctamente implementadas. Este nivel pretende minimizar los “riesgos de ciberseguridad conocidos y el riesgo de incidentes y ataques cibernéticos llevados a cabo por actores con habilidades y recursos limitados”.
Seguro alto: EAL4 a EAL7
Por el contrario, el nivel de alto seguro corresponde a EAL4 a través de EAL7, requiriendo evaluaciones de vulnerabilidad más rigurosas clasificadas como AVA_VAN. , AVA_VAN.4, o AVA_VAN.5. Este nivel manipula metodologías completas de pruebas para identificar posibles vulnerabilidades y verificar la robustez de seguridad del producto contra los ciberataques de última generación realizados por actores con habilidades y recursos significativos. La certificación en AVA_VAN.4 y AVA_VAN.5 está reservada para escenarios que requieren la máxima seguridad debido a la naturaleza crítica de los productos ICT. Las actividades de evaluación incluyen revisar la ausencia de vulnerabilidades conocidas, probar funciones de seguridad y evaluar la resistencia a atacantes calificados a través de pruebas de penetración.
Evaluación dinámica basada en el riesgo bajo EUCC
A diferencia del enfoque más estático de los criterios comunes tradicionales, un cambio que exploramos recientemente en nuestra guía sobre lo que necesitas saber sobre la certificación de seguridad en 2025, el EUCC enfatiza los contextos de riesgo actuales, el apoyo al ciclo de vida (incluyendo la gestión de parches) y el mantenimiento. Esto representa una mentalidad de certificación más moderna y flexible. El marco permite a los fabricantes seleccionar los niveles de evaluación adecuados en función de los riesgos específicos asociados con el uso previsto de sus productos. Este enfoque se ajusta al objetivo de la Cybersecurity Act de establecer niveles adecuados de seguridad para diferentes escenarios. Además, los productos certificados bajo la EUCC en el nivel "sustancial" o superior califican para presunción de conformidad con la Ley de Resistencia Cibernética (CRA).
Qué alta certificación de seguridad realmente requiere
Mientras que la EUCC representa un paso importante hacia una certificación armonizada de la ciberseguridad en Europa, no resuelve automáticamente todas las lagunas de seguridad o de seguridad en todos los casos de uso.
Por lo tanto, es posible que las organizaciones orientadas a entornos de alto riesgo o bien regulados deban evaluar si el CEEF por sí solo proporciona una cobertura suficiente. Un análisis más detallado de estas lagunas y limitaciones está disponible aquí: ¿Es EUCC Enough? Abordar lagunas en la certificación europea de ciberseguridad.
Alcanzar la certificación de alta seguridad en virtud de la EUCC exige un mayor rigor que el enfoque de los criterios comunes tradicionales. Las organizaciones deben prepararse para un proceso intensivo que se extienda más allá de las pruebas de seguridad convencionales.
Análisis avanzado de vulnerabilidades (AVA_VAN.3 para AVA_VAN.5)
La base de la certificación de alta fiabilidad está en la evaluación integral de vulnerabilidades, AVA_VAN. introduce análisis exhaustivos para identificar vulnerabilidades explotables por parte de los atacantes con potencial de ataque moderado (habilidades y recursos significativos). Este nivel corresponde al EAL4, que representa un aumento sustancial de la profundidad de la evaluación en comparación con los niveles básicos de garantía. En EAL4, el foco es el "Diseño Métodico" asegurando que el producto se construye siguiendo estándares comerciales de alta calidad.
Para AVA_VAN.4 y AVA_VAN.5 (correspondiente al EAL5–EAL7), la metodología de puntuación se vuelve cada vez más rigurosa, desplazando al objetivo para resistir el potencial de ataque "alto". Esto supone un adversario con conocimiento experto y recursos casi ilimitados. El análisis evalúa factores tales como:
Tiempo transcurrido para identificar y explotar vulnerabilidades
Experiencia especializada requerida para la explotación
Conocimiento del objetivo de evaluación (TOE)
Ventana de oportunidad para la explotación de vulnerabilidades
Complejidad del equipo requerido
Adiciones de llaves para EAL5:
Modelo de diseño semi-formal: A diferencia del enfoque descriptivo de EAL4, EAL5 requiere notación semi-formal (como máquinas estatales o diagramas especializados). Esto elimina la ambigüedad, permitiendo a los evaluadores rastrear matemáticamente las funciones de seguridad directamente a la implementación.
Arqueo Modular: EAL5 manipula un TSF modular (Funcionalidad de Seguridad TOE). Esto asegura que los componentes de seguridad estén aislados, evitando que una falla en una característica menor comprometa todo el núcleo seguro.
Acceso al código fuente completo: mientras que EAL4 a menudo se centra en módulos de seguridad específicos, El EAL5 requiere típicamente una revisión más exhaustiva del código fuente y la lógica del hardware para asegurar que no existan "puertas laterales" en la infraestructura de soporte.
Verificación formal y diseño de rigor
En EAL6, los productos deben demostrar ingeniería de seguridad de alto nivel con métodos de verificación formales. Las especificaciones de diseño semi formales y formales deben describir a fondo las funciones de seguridad y sus interacciones. Para EAL7, la verificación matemática del diseño y la implementación es obligatoria, asegurando que las funciones de seguridad estén correctamente especificadas e implementadas. La documentación de la arquitectura de seguridad (ARC) debe explicar la separación de dominios, los procesos de inicialización y la protección contra la manipulación. Particularmente para niveles de seguridad más altos, se requieren modelos de seguridad formales para verificar matemáticamente las propiedades de seguridad.
Seguridad de ciclo de vida y gestión de parches
El EUCC distingue entre la gestión estándar de vulnerabilidades y los casos de explotación activa, definidos como evidencia fiable de ejecución de código malicioso no autorizado. En tales casos, los fabricantes están obligados a informar sin demora al Organismo de Certificación (CB) y a priorizar la mitigación del riesgo sobre la recertificación. El marco enfatiza que el parche y la corrección de la vulnerabilidad deben tener prioridad, utilizando los enfoques de gestión de parches definidos en el Anexo IV EUCC. La siguiente tabla describe los plazos máximos obligatorios para realizar un análisis de impacto de vulnerabilidad, basado en el potencial de ataque y severidad:
Tabla: Orientación sobre plazos máximos para el análisis de impacto de vulnerabilidad; CD=Días de Calendario
Fuente: Auto editado basado en Directrices de ENISA EUCC sobre gestión de vulnerabilidades y divulgación (v1.1).
Entendiendo las extensiones y las líneas cronológicas
Los plazos indicados en la tabla sirven como límites máximos recomendados para asegurar respuestas oportunas a las amenazas de seguridad:
Crítico y Alta Severidad: Los informes deben ser compartidos tan pronto como estén disponibles, incluso antes del límite de 60 o 90 días.
Extensiones: Los marcos temporales marcados con un asterisco pueden ser extendidos con aprobación de NCCCA. Una solicitud debe presentarse 30 días antes de la fecha límite; si la NCCA no responde dentro de 30 días, la ampliación se considera aceptada.
Acuerdo mutuo: Esto se refiere a una línea temporal acordada entre el CB y el titular del certificado, típicamente cuando los cálculos potenciales de ataque son bordes. El máximo recomendado para tales acuerdos es de 180 días.
Ataque de salida Potential: Si un análisis muestra que una vulnerabilidad está dentro de los límites del nivel certificado AVA_VAN, se necesitan más pruebas de explotación. Si está más allá de esas fronteras, el análisis debe seguir registrándose y conservándose durante un mínimo de cinco años.
Adherencia a estas líneas de tiempo estructuradas y evaluaciones de impacto rigurosas, incluyendo ISO/IEC 18045:2022 cálculos potenciales de ataque, las organizaciones aseguran que los productos de alta seguridad sigan siendo resistentes a lo largo de toda su vida útil.
Preparación para EUCC: Pasos prácticos para fabricantes
La certificación EUCC es un proceso estructurado y multifase, diseñado para ofrecer un alto grado de seguridad para los productos ICT que operan en entornos sensibles al riesgo. Desde una perspectiva ejecutiva, los resultados predecibles dependen del alcance temprano, la planificación realista y la alineación con los organismos acreditados de evaluación y certificación.
Punto de entrada estratégica:
El proceso comienza con una solicitud a un organismo de certificación acreditado por EUCC. En esta etapa, las organizaciones definen el alcance de la certificación, el nivel de garantía objetivo y los límites de evaluación. La alineación temprana en este punto reduce la incertidumbre más adelante en el proceso.
Lectura de Documentación:
La certificación EUCC es fundamentalmente documentacion-driven. La documentación tecnológica, arquitectónica, de seguridad y de ciclo de vida debe demostrar clara y consistentemente cómo se implementan y mantienen los objetivos de seguridad. La madurez de la documentación es el factor principal que influye en la previsibilidad y el esfuerzo de la evaluación. Un socio consultivo puede ser una buena opción para salvar la brecha entre la realidad de la ingeniería y las expectativas de regulación, asegurar que las especificaciones técnicas internas se traduzcan en la evidencia precisa y lista para la auditoría necesaria para minimizar los riesgos y retrasos de la evaluación.
Alineación de Socio de Evaluación:
Se requiere un laboratorio de pruebas acreditado por EUCC (ITSEF) para llevar a cabo la evaluación de acuerdo con la metodología C2022. Muchas organizaciones también confían en los conocimientos técnicos externos para apoyar las actividades de preparación y garantizar la correcta interpretación de los requisitos de EUCC y Criterios Común.
fase de evaluación:
La fase de evaluación consiste en la revisión estructurada de la documentación, pruebas funcionales y pruebas de penetración, proporcionales al nivel de garantía seleccionado. Unos niveles de seguridad más altos requieren un análisis de vulnerabilidad más profundo y pueden incluir visitas del sitio para verificar el ciclo de vida y los controles operativos.
Decisión de certificación:
Una vez finalizada la evaluación, el Organismo de Certificación revisa el Informe Técnico de Evaluación y emite la decisión final de certificación. Un resultado satisfactorio en la expedición de un certificado EUCC, confirmando el cumplimiento de los requisitos de Criterio Común en un marco europeo armonizado.
Cronograma Esperado:
Aunque las actividades de evaluación suelen durar de 6 a 8 meses, las organizaciones deben planificar aproximadamente 12 meses de principio a fin, dependiendo de la complejidad del producto, el nivel de aseguramiento y la madurez de la preparación. Para una visión general operativa detallada de los pasos de preparación y aplicación de la certificación EUCC, consulte: Cómo Preparar y Aplicar para la Certificación EUCC de su Producto
Conclusión
La transición de los Criterios Comunes tradicionales al esquema de Certificación Ciberseguridad de la Unión Europea marca un momento acuarela para el cumplimiento de la ciberseguridad en toda Europa. Los límites de certificación previamente fragmentados ahora convergen en un marco unificado que aborda los desafíos de seguridad contemporáneos, al tiempo que elimina las inconsistencias transfronterizas.
Las organizaciones que buscan la certificación deben reconocer que el EUCC exige mucho más que la conformidad de las casillas de verificación. Especialmente la certificación de alta seguridad requiere análisis exhaustivos de vulnerabilidad, métodos de verificación formal y procesos robustos de gestión de ciclos de vida. Por lo tanto, las empresas deben evaluar cuidadosamente sus perfiles de riesgo antes de determinar si la certificación es sustancial o de alta seguridad con sus objetivos de seguridad y requisitos del mercado.
Indudablemente, los fabricantes se enfrentan a un camino más riguroso hacia el cumplimiento en este nuevo marco. El énfasis del esquema en el monitoreo continuo y la rápida remediación de vulnerabilidades refleja un cambio fundamental hacia la seguridad como un proceso en curso y no como un logro estático. Este enfoque reconoce la realidad de que las amenazas a la seguridad evolucionan constantemente, por lo que requiere la correspondiente evolución de las capacidades defensivas.
Preparación es el factor crítico para el éxito de la certificación EUCC. Una documentación minuciosa, una estrecha colaboración con las instalaciones de evaluación acreditadas y los procedimientos establecidos de gestión de vulnerabilidades determinarán el viaje de certificación de una organización. Además, los fabricantes deben integrar consideraciones de seguridad a lo largo del ciclo de vida del desarrollo, especialmente para los productos dirigidos al EAL4 o superior.
Los productos certificados bajo este marco gozan de una presunción de conformidad con la Ley de Resiliencia Cibernética (Cyber Resilience Act), aumentando las cargas regulatorias. Este enfoque armonizado genera la confianza de los consumidores al tiempo que abre el acceso a los mercados en toda la Unión Europea. En última instancia, la certificación EUCC representa no solo un hurdle regulatorio, sino una inversión estratégica en seguridad de productos y posición del mercado, ya que Europa fortalece su postura de ciberseguridad para la era digital.
Cómo QIMA CCLab puede apoyarte
En QIMA CCLab, proporcionamos asistencia profesional para guiar a los fabricantes a través del proceso de certificación de ciberseguridad de la Unión Europea (EUCC). Como una instalación de evaluación experimentada, apoyamos a nuestros clientes ofreciendo:
Servicios de consulta: Guía experta para ayudarle a navegar por las complejidades del nuevo marco EUCC y metodologías comunes de Critería.
Soporte de Documentación: Ayuda dedicada a la preparación y revisión de la documentación esencial requerida para su cumplimiento.
Evaluaciones de Seguridad: Evaluaciones rigurosas e independientes de las características de seguridad de su producto para garantizar que cumplan con todos los estándares EUCC requeridos, facilitando un viaje de certificación más fluido.
PREGUNTAS FRECUENTES
¿Qué es el EUCC?
El Sistema de Certificación Ciberseguridad de la Unión Europea (EUCC) es un sistema de certificación basado en Criterios Comunes elaborado por la Agencia Europea para la Ciberseguridad (ISA). Adoptada en el marco de la Ley de Ciberseguridad de la Unión Europea (UE), armoniza la evaluación y certificación de los productos de la tecnología de la información y la comunicación (TIC) en toda Europa, reemplazando esquemas nacionales anteriores para garantizar normas coherentes de seguridad cibernética en todos los Estados miembros de la UE.
¿Cuáles son los beneficios de obtener la certificación EUCC para mi producto?
Alcanzar la certificación EUCC demuestra que su producto ICT cumple con rigurosos estándares de seguridad cibernética, mejorando significativamente su credibilidad y su comercialización. También facilita el acceso al mercado europeo eliminando la necesidad de múltiples certificaciones nacionales, permitiendo la libre circulación de sus productos certificados en todos los estados miembros.
¿Cómo puede QIMA CCLab ayudar a conseguir la certificación EUCC?
QIMA CCLab ofrece servicios de asesoramiento profesional para guiarle a través del proceso de certificación EUCC. Nuestro equipo proporciona soporte completo en la preparación de la documentación necesaria, realizando evaluaciones de seguridad independientes, y asegurando que su producto cumple con todos los estándares requeridos para facilitar un viaje de certificación eficaz y exitoso.
Related Articles
