La Entidad Nacional de Acreditación (ENAC) ha desarrollado recientemente, a instancias del Centro Criptológico Nacional, un programa piloto para la acreditación de laboratorios de acuerdo a los requisitos esperables en el esquema europeo de certificación basado en Common Criteria (EUCC), que no ha sido todavía formalmente aprobado pero que se encuentra en las fases finales de su desarrollo. El programa piloto tiene como objetivo ofrecer al mercado español, en el menor plazo posible, laboratorios acreditados una vez se apruebe el EUCC, dado que, además, se espera un tiempo de transición corto para su aplicación, en sustitución de los esquemas nacionales actualmente vigentes bajo el acuerdo SOGIS.
Para el desarrollo de este programa piloto, ENAC ha tomado como referencia lo establecido en el documento “Accreditation of ITSEFs for the EUCC scheme; V09 de mayo de 2023”, elaborado en el marco de uno de los grupos de trabajo de la Agencia de la Unión Europea para la Ciberseguridad, ENISA.
Con la puesta en marcha de este programa, los laboratorios interesados ya pueden solicitar la acreditación.
Certificación de la ciberseguridad en Europa
El EUCC (EU Certification scheme on Common Criteria) es uno de los esquemas que ENISA está desarrollando en el marco de lo establecido en el Reglamento (UE) 2019/881, popularmente conocido como Cybersecurity Act. Tras su publicación, el esquema sustituirá al actual acuerdo europeo SOGIS (Senior Officers Group for Information Systems, Mutual Recognition Agreement).
El Common Criteria proporciona un conjunto estandarizado de requisitos de seguridad de productos de tecnologías de la información (hardware, software o firmware) que aportan confianza sobre las evaluaciones en seguridad llevadas a cabo sobre los mismos. Una de las aplicaciones más comunes del Common Criteria es la certificación de circuitos integrados y tarjetas inteligentes, que contribuyen a aportar mayor confianza sobre la seguridad de los dispositivos con firma electrónica (pasaportes, tarjetas bancarias o tacógrafos, entre otros).
Asimismo, ENISA está elaborando otros esquemas relacionados con el sector de las TIC, como el de certificación sobre servicios en la nube (EU Certification scheme on Cloud Services, EUCS) y el de certificación para redes móviles 5G (EU 5G scheme), siendo el EUCC el más avanzado en su desarrollo.