UNE e INCIBE reúnen en León a expertos europeos en ciberseguridad para desarrollar nuevos estándares europeos en materia de ciberseguridad y protección de datos. UNE, que ejerce de anfitrión, promueve la participación de expertos de la industria española en este foro europeo a través del CTN 320 en el que se elaboran estándares clave para garantizar la transformación digital en condiciones de calidad y confianza.
El CTN 320 Ciberseguridad y protección de datos personales es comité espejo del ISO/IEC JTC 1/SC 27 Information security, cybersecurity and privacy protection y del CEN/CENELEC JTC 13 Cybersecurity and data protection.
La Estrategia de Normalización de la Unión Europea para 2022 reconoce y destaca el valor estratégico de las normas. Europa quiere reforzar su papel mundial promoviendo un enfoque coordinado de las actividades internacionales de normalización en ISO, IEC e ITU, y también en otras asociaciones, foros y consorcios mundiales, perfilando su lugar en un campo de actores mundiales.
La sede del Instituto Nacional de Ciberseguridad (INCIBE) ha acogido entre el 9 y 10 de noviembre la reunión del comité técnico europeo de normalización CEN/CLC JTC 13 de Ciberseguridad y Protección de Datos. Esta iniciativa, impulsada por la Asociación Española de Normalización UNE, ha reunido a 48 expertos europeos en ciberseguridad, acreditados por organismos de normalización de más de 30 países. En el encuentro se han abordado asuntos como la estrategia de normalización en ciberseguridad y protección de datos en Europa, así como el desarrollo de nuevas normas clave en este campo, basadas en las mejores prácticas y en el consenso.
El CEN/CLC JTC 13 es el comité técnico conjunto de los organismos europeos de normalización CEN y CENELEC que se ocupa del desarrollo de estándares en ciberseguridad y protección de datos. Su principal objetivo es adoptar las normas internacionales del ISO/IEC JTC 1 SC 27 en el ámbito de Seguridad de la información, ciberseguridad y protección de datos y desarrollar normas netamente europeas en apoyo a la Legislación de la UE Estas dos corrientes de actividad tienen como misión crear una cartera estratégica de normas en Europa, que se ajuste a las necesidades de la región. El CEN/CLC JTC 13 trabaja estrechamente con ENISA (Agencia de la Unión Europea para la Ciberseguridad) en el contexto de los Esquemas de Certificación de Ciberseguridad europeos, y con la Comisión Europea, en el marco de la solicitud de normalización relacionada con la ciberseguridad bajo la Directiva de Equipos de Radio (RED).
La ciberseguridad es una de las prioridades del Plan Estratégico UNE 2025, desde donde se impulsa la influencia y participación del sector nacional en el desarrollo de normas que apoyen la construcción del Esquema Europeo de Ciberseguridad, así como las acciones encaminadas a contribuir a la consecución de los objetivos de la Estrategia Nacional de Ciberseguridad.
Para ello, se ha constituido el Comité UNE de Ciberseguridad y protección de datos (CTN 320), que tiene su reflejo en el comité europeo CEN/CLC JTC 13 y en los internacionales ISO/IEC JTC1/SC 27 e ISO/PC 317. Cuenta con más de 200 vocales pertenecientes a 90 entidades de todas las partes interesadas.
Tiene como objetivo desarrollar normas técnicas nacionales UNE que den una respuesta eficaz a los desafíos relacionados con la Ciberseguridad en ámbitos como los Sistemas de Gestión de Seguridad de la Información (SGSI), la evaluación de la seguridad de los productos de TI, la seguridad en cloud, el Internet de las Cosas (IoT), las evidencias electrónicas o el vehículo conectado. Además, promueve la participación de expertos de la industria española en los foros internacionales y europeos de normalización donde se desarrollan estándares en apoyo al nuevo marco regulatorio europeo, como Cybersecurity Act (CSA), Cyber Resilience Act (CRA), European Cybersecurity Certification Schemes, NIS, RED, eIDAS, GDPR, etc., facilitando el despliegue de las políticas públicas y la consideración de aspectos de ciberseguridad en el vehículo conectado. Su Plan de Trabajo CTN 320 para 2020-2022 incluye desarrollos en áreas que van desde la seguridad en cloud hasta la gestión de evidencias electrónicas, pasando por la seguridad y privacidad para IoT, IA, big data, quantum, y otras nuevas tecnologías.
La ciberseguridad es una de las prioridades del Plan Estratégico UNE 2025
España siempre ha tenido una fuerte presencia en las actividades de normalización europeas e internacionales, así como una sólida trayectoria de adopción de normas internacionales como normas nacionales UNE. Desde la constitución del comité CTN 320, se ha adoptado más de una treintena de normas de ISO/IEC JTC 1/SC 27 y CEN/CLC JTC 13 como normas UNE.Así, este Comité es el responsable en España de la familia de Normas UNE-ISO/IEC 2700x de Gestión de Seguridad de la Información. Entre ellas se encuentra la UNE-EN ISO/IEC 27001, referente para la certificación de organizaciones, así como la serie UNE-EN ISO/IEC 15408, con Criterios Comunes para la evaluación de la seguridad de la información; normas base para el Esquema Nacional de Seguridad (ENS).
Además de estas adopciones, el comité promueve importantes actividades de apoyo a la normalización nacional, como el desarrollo de la Norma UNE 320001 Metodología de evaluación LINCE para la ciberseguridad de los productos TIC (posteriormente elevada a norma europea EN 17640), la Norma UNE 320002 Arquitecturas de confianza para el intercambio de inteligencia de ciberamenazas, las normas UNE 71510, UNE 71512 y UNE 71513 sobre aplicaciones con Documento Nacional de Identidad electrónico (DNIe) y creación y verificación de firmas electrónicas, etc. También impulsa las actividades de normalización en Europa en el ámbito de la ciberseguridad, como FITCEM, una metodología flexible de evaluación de la seguridad de la información para cumplir con los requisitos de certificación del Reglamento Europeo de Ciberseguridad (CSA); normas para el Esquema de Certificación de Servicios en la Nube de la UE promovido por ENISA; y requisitos de seguridad en apoyo de la Directiva RED.
España tiene una participación activa en el comité europeo CEN/CLC JTC 13, con diferentes expertos en Grupos de Trabajo (WG) específicos y la presidencia del CEN/CLC JTC 13/WG 3.
En el JTC 13/WG 3 se desarrollan el conjunto de normas relativas a los mecanismos de Evaluación de Seguridad. Es el caso del Proyecto prEN Guidelines on the Sectoral Cybersecurity Assessment, que establece las directrices para la evaluación de riesgos de ciberseguridad en el diseño de los esquemas europeos de certificación definidos en el marco de la Directiva Europea EU Cybersecurity Act. También hay que destacar la EN 17640 Fixed-Time Cybersecurity Evaluation Methodology for ICT Products (FITCEM), que define una metodología de evaluación de ciberseguridad para productos, en un tiempo fijo. Además, se está desarrollando la familia de Normas EN ISO/IEC 15408 para la evaluación de productos.
Los expertos españoles han estado contribuyendo a la EN Requirements for conformity assessment bodies certifying cloud services, que define los requisitos para los organismos de evaluación de la conformidad que certifican servicios en la nube; Asimismo, a la prEN 17927 Security Evaluation Standard for IoT Platforms (SESIP), que proporciona una metodología eficaz para aplicar la evaluación de la ciberseguridad y la reutilización para los productos TIC conectados.
Además, han participado en la preparación del NWI sobre Multi-layered approach for a set of requirements for information/cyber security controls for Cloud Services (JTC 13/WG 2), que proporciona un conjunto de requisitos de seguridad de la información para los controles de seguridad de la información/ciberseguridad para los servicios en la nube.
Otras normas europeas del JTC 13/WG 5 que han contado con la participación de expertos españoles en su desarrollo son:
Por último, se realiza un buen seguimiento de las actividades del JTC 13/WG 7 “Adhoc group EU 5G Certification scheme support group”, que colabora con ENISA en la definición del Esquema de Certificación de Ciberseguridad 5G de la UE (EU5G). Las inquietudes y recomendaciones técnicas nacionales también se transmiten a través de la participación de los expertos españoles en el JTC 13/WG 8, que desarrolla las normas europeas armonizadas que definen los requisitos de ciberseguridad aplicables en el marco de la Directiva RED.
El CTN 320 Ciberseguridad y protección de datos personales es comité espejo del ISO/IEC JTC 1/SC 27 Information security, cybersecurity and privacy protection y del CEN/CENELEC JTC 13 Cybersecurity and data protection. El primero lidera desde hace más de 25 años en el ámbito nacional la normalización en este campo tan actual y necesario, como es la seguridad de la información.
La creación en 2017 del JTC 13 se anticipó a la intensa actividad legislativa que, desde entonces, la Comisión Europea está llevando a cabo y que está dibujando un futuro mercado europeo donde los productos deberán cumplir con requisitos esenciales de ciberseguridad, la evaluación de la conformidad y etiquetado de sus características de ciberseguridad, que se utilizarán como instrumento habitual de demostración de cumplimiento. Y la información de las vulnerabilidades se coordinará entre todas las partes para garantizar al usuario no solo que adquiere productos seguros, sino que así se mantienen durante un tiempo razonable.
Esta visión del futuro mercado requiere de normas nuevas, que se están desarrollando en el JTC 13, y a las que el CTN 320 está contribuyendo de manera decisiva. De igual manera que la legislación europea supuso un liderazgo mundial en cuestiones de privacidad y protección de datos personales, es de esperar que esta nueva concepción de los requisitos de mercado para productos tecnológicos se propague a otros mercados extraeuropeos, por lo que las normas que lo apoyan, que inicialmente estamos desarrollando en el JTC 13, puedan dar el salto al panorama global a través del SC 27.
La Estrategia de Normalización de la Unión Europea para 2022 reconoce y destaca el valor estratégico de las normas. Europa quiere reforzar su papel mundial promoviendo un enfoque coordinado de las actividades internacionales de normalización en ISO, IEC e ITU, y también en otras asociaciones, foros y consorcios mundiales, perfilando su lugar en un campo de actores mundiales. En las últimas décadas, hemos asistido a grandes avances tecnológicos en áreas como la Inteligencia Artificial, tecnología cuántica o interfaces cerebro-ordenador. La normalización debe abordar estos avances, tanto en la tecnología respectiva como en sus requisitos horizontales, como la ciberseguridad.
Europa siempre ha tenido una fuerte huella global en las actividades de normalización internacional y en la adopción de normas internacionales como europeas. En el ámbito de la ciberseguridad y protección de datos, desde su creación en 2017, el CEN/CENELEC JTC 13 ha adoptado más de 30 normas del ISO/IEC JTC 1/SC 27 como normas europeas, con más adopciones y desarrollos paralelos en curso. Además, impulsa importantes actividades de apoyo a la normativa europea en materia de ciberseguridad, como FITCEM, metodología de evaluación flexible para cumplir con los requisitos del Reglamento de Ciberseguridad “Cybersecurity Act”; normas para el Esquema de Servicios en Cloud de la UE impulsado por ENISA; o requisitos de seguridad en apoyo de la Directiva de Equipos de Radio (RED). En el horizonte está el trabajo para el Reglamento de Ciberresistencia “Cyber Resilience Act” (CRA).
Las normas siempre están integradas en objetivos políticos, como la libre circulación de bienes y servicios, competitividad industrial, innovación, seguridad o protección de los consumidores, trabajadores o medio ambiente. Necesitan un tiempo de implantación adecuado y un consenso, y contribuyen a un mundo abierto, libre y colaborativo.