EUCC ISAC: Reforzando la Ciberseguridad en Europa

La certificación de ciberseguridad para productos de Tecnologías de la Información y Comunicación (TIC) es un pilar fundamental para construir un mercado digital robusto y seguro en Europa. El panorama regulatorio, en constante evolución, exige mecanismos ágiles y confiables que permitan una colaboración estrecha entre el sector público y el privado.

En este contexto, el EU Common Criteria Information Sharing and Analysis Centre (EUCC ISAC) emerge como una iniciativa crucial. Creado para suceder a los antiguos Grupos de Trabajo JIL, el EUCC ISAC es una asociación internacional sin ánimo de lucro (AISBL) con sede en Bruselas, diseñada para proporcionar el soporte y el mantenimiento necesarios para el esquema de certificación de la Unión Europea conocido como EUCC.

Objetivos Clave del EUCC ISAC

El EUCC ISAC no es solo un centro de análisis; es una plataforma estratégica con múltiples misiones orientadas a fortalecer el ecosistema de ciberseguridad en la UE:

• Facilitar la Colaboración y el Intercambio de Información: Actúa como un puente esencial entre las partes interesadas públicas (ENISA, Comisión Europea, ESEm) y las entidades privadas. Esto incluye promover el intercambio de mejores prácticas, información sobre vulnerabilidades, catálogos de ataques y documentos de guía para la evaluación y aseguramiento de la ciberseguridad.

• Mejorar los Estándares de Certificación y Metodologías: El ISAC contribuye activamente al mantenimiento y revisión del esquema EUCC. Esto garantiza que la consistencia en la evaluación y la confianza en la certificación se mantengan a altos niveles, adaptándose a los avances tecnológicos.

• Promover la Cooperación Internacional: Si bien se enfoca en el EUCC dentro de Europa, el ISAC busca acuerdos de reconocimiento mutuo con esquemas de certificación de terceros países, fomentando la confianza global en el marco de la UE.

• Fortalecer la Participación de la Industria: Su objetivo es involucrar activamente a fabricantes, proveedores, Conformity Assessment Body (CABs) y otros actores del ecosistema en los procesos de certificación y estandarización del EUCC.

• Apoyar la Innovación y el Desarrollo de Esquemas: Proporciona recursos para el pilotaje y la prueba de nuevos elementos del esquema EUCC, ofreciendo soporte técnico para el desarrollo de nuevos estándares de ciberseguridad, Perfiles de Protección (PPs) y dominios técnicos emergentes (como el software y la Inteligencia Artificial).

• Mejorar el Diálogo Público-Privado: Asegura una comunicación abierta entre reguladores y representantes de la industria para abordar desafíos en la certificación (ecosistemas, gestión de crisis, etc.), abogando por la mejora continua del EUCC basada en la retroalimentación del mundo real.

Estructura de la Gobernanza y Grupos Técnicos

El EUCC ISAC opera bajo una estructura de gobernanza ágil y flexible, que incluye una Asamblea General, un Consejo de Administración, un steering committee y, sobre todo, una serie de Grupos Técnicos.

La Mesa Directiva (Steering Committee) es la interfaz clave entre los grupos técnicos y el subgrupo de mantenimiento del EUCC (ESEm). Su función es estratégica: supervisar las actividades, asegurar la consistencia entre los grupos y gestionar el enlace con las autoridades públicas y ENISA.

Los Grupos Técnicos son el motor de la actividad técnica del ISAC, trabajando en distintas áreas con sus propios términos de referencia (ToR):

• Attack Management Group: Incluye grupos dedicados al estudio, armonización y definición de rutas de ataque y potencial de ataque. Bajo este paraguas se encuentra Joint Hardware Attack Subgroup (JHAS), este grupo desarrolla metodologías y guías para evaluar rutas de ataque en hardware de seguridad IC (circuitos integrados), elementos seguros y dispositivos de seguridad. Sus evaluaciones se extienden desde el nivel AVA_VAN.2 hasta AVA_VAN.5.

• Evaluation and Certification Methodology Group: Agrupa actividades relacionadas con metodologías y documentos de soporte para la evaluación Common Criteria. Incluye:

  • International Security Certification Initiative (ISCI): Se centra en apoyar la interpretación y el desarrollo de Common Criteria para certificaciones de hardware y software, con un enfoque en la comprensión común de las metodologías de evaluación y la armonización de métodos.

  • Subgrupo de IA Embebida y Common Criteria (ISCI Subgroup): Una nueva área de trabajo dedicada a salvar la brecha entre la evaluación de ciberseguridad de la IA integrada y los requisitos de Common Criteria. Este grupo define alcances para evaluaciones de riesgo de IA.

• PP Management Group: Responsable de coordinar aspectos relativos a Perfiles de Protección (PPs), su mantenimiento y armonización.

• Vulnerability Analysis Group: Proporciona mecanismos estructurados para gestionar y armonizar actividades relacionadas con la identificación, análisis y tratamiento de vulnerabilidades en el contexto del esquema EUCC.

Cómo Unirse al EUCC ISAC

El ISAC está diseñado para permitir una participación amplia y relevante, siguiendo criterios de elegibilidad y procedimientos definidos en sus estatutos. El proceso de solicitud incluye:

1. Presentación de documentación que justifique la elegibilidad y experiencia técnica.

2. Revisión por los Grupos Técnicos correspondientes, que evalúan la idoneidad del solicitante.

3. Revisión final por el Steering Committee y el Board of Directors, que pueden aprobar o vetar la admisión.

El EUCC ISAC constituye un punto de encuentro único entre industria, laboratorios y autoridades públicas para construir un esquema de certificación sólido, coherente y técnicamente avanzado.

Para obtener más información o iniciar un proceso de admisión, puede contactarse con la administración del ISAC a través de los canales oficiales.