Tal como hemos comentado recientemente la propuesta de modificación de la Cybersecurity Act, sitúa en un punto estratégico la certificación para los productos que contengan elementos digitales. La revisión de esta Directiva dedica todo un título, TITULO III, a las características de certificación de estos elementos, tomando como punto de partida Common Criteria y concretamente la versión europea EUCC.
Por esta razón y junto con la presión de los incidentes crecientes de ciberseguridad, el mercado de certificación de productos con componentes digitales está creciendo, alcanzando a nivel mundial un volumen entre 240 y 290 Billones de dólares, tal como recoge el informe de la empresa INTACT (https://intact-systems.com/). Según esta compañía los principales motores para el crecimiento de este sector son el aumento de los requisitos regulatorios, la transformación digital, la sostenibilidad y garantizar la cadena de suministro.
Ahora bien, si el papel de estas organizaciones es estratégico, ¿cómo deben prepararse para hacer frente a las exigencias del mercado? A mi modo de ver hay tres factores que pueden ayudar:
- Conocimiento profundo del mercado de IT, ya que la ciberseguridad tiene que ver con tecnología, desde el proceso de desarrollo utilizando las buenas prácticas propias del sector, hasta la aplicación de parches y actualizaciones, actividad que debe ser familiar para los fabricantes.
- Disponibilidad de recursos especializados, lo que supone un gran reto ante la escasez de este tipo de recursos. Esto tiene que obligar a las entidades de certificación a contribuir especialmente con Universidades y otras instituciones de enseñanza para atraer talento y una política interna de recursos humanos que permita el crecimiento de este tipo de profesionales.
- Acompañamiento en el proceso de auditoría y certificación. Es cierto que las entidades de certificación tienen que mantener su independencia y no influir en el proceso de preparación de auditoría del cliente auditado. Sin embargo, teniendo en cuenta la complejidad de este sector hay ciertos servicios que pueden ofrecerse, tales como formación en el esquema a auditar, gap análisis que permita en un tiempo breve identificar aquellos puntos de no cumplimiento, cualificación de otro tipo de empresas que puedan acompañar al cliente con consultoría específica en aquellos temas en los que la entidad certificadora no pueda intervenir.
