La metodología SESIP de GlobalPlatform (EN 17927) ofrece un marco de seguridad racionalizado y rentable para que los dispositivos y componentes conectados cumplan la nueva Ley de Ciberresiliencia de la UE.
GlobalPlatform pide a los fabricantes de dispositivos y componentes conectados que adopten su metodología «Security Evaluation Standard for IoT Platforms» (SESIP) para demostrar su conformidad con la nueva Ley de Ciberresiliencia (CRA) de la Unión Europea, que entra en vigor este mes. La CRA pretende reforzar y armonizar la ciberseguridad en toda la UE creando un nuevo marco jurídico para todos los productos que se conectan a Internet.
La promulgación de la CRA establece normas obligatorias de ciberseguridad que abarcan todo el ciclo de vida de un producto digital vendido en la UE. La CRA se publicó en el Diario Oficial de la Unión Europea el mes pasado y se convertirá en ley el 11 de diciembre de 2024. Los fabricantes de productos tendrán 36 meses para cumplir plenamente la legislación. Con el tiempo, la Ley exigirá que todos los productos pertinentes cumplan las normas para obtener el marcado CE, un requisito de mercado obligatorio para la expedición de productos en Europa.
Como norma reconocida internacionalmente para la evaluación de la seguridad del IoT, SESIP es clave para cumplir los requisitos exigidos por la CRA. Proporciona a los fabricantes una metodología probada para llevar a cabo evaluaciones de seguridad de componentes de software y hardware en todos sus productos y cadenas de suministro. El CENELEC, el organismo europeo de normalización, reconoce el SESIP como norma EN 17927. También se ajusta a muchas otras legislaciones y sistemas verticales de certificación de todo el mundo, como el Cyber Trust Mark de Estados Unidos.
La metodología se utiliza para certificar componentes, plataformas y módulos de diversas empresas y cuenta con el apoyo de un ecosistema cada vez mayor de proveedores de seguridad, organismos de certificación, laboratorios de seguridad y otras partes interesadas. GlobalPlatform sigue apoyando el crecimiento y la gobernanza del ecosistema SESIP. SGS Brightsight ha sido acreditada recientemente como CB de SESIP tras la aprobación del organismo nacional de acreditación español (ENAC), convirtiéndose en el segundo CB de SESIP después de TrustCB.
«El apoyo de la industria a SESIP se está consolidando en esta coyuntura crítica para los fabricantes de IoT que operan en Europa», dijo Gil Bernabeu, CTO de GlobalPlatform. «La Ley de Resiliencia Cibernética es vital para proteger a los consumidores y las empresas mediante la incorporación de características de seguridad en el corazón de los dispositivos conectados que usamos todos los días, proporcionando un marco de ciberseguridad que abarca el diseño, desarrollo y mantenimiento de productos digitales».
«Sin embargo, esta legislación histórica presenta una serie de desafíos de cumplimiento para los fabricantes de dispositivos conectados y los componentes utilizados en estos productos», continuó Bernabeu. «SESIP simplifica la conformidad con la nueva normativa proporcionando un marco unificado para la evaluación integral de la seguridad, reduciendo costes, riesgos y plazos de comercialización. Esperamos ampliar el ecosistema de SESIP para ayudar a múltiples sectores industriales a cumplir los requisitos de la nueva normativa europea. También permitirá a los fabricantes internacionales reutilizar sus inversiones en evaluación de la seguridad para demostrar la conformidad con normativas no europeas.»
La metodología SESIP ya se ha adaptado a otras normas y reglamentos como ETSI, (EN 303645 / TS 103732), ISO/IEC (62443-4-2), RED (EN 18031), UNECE WP.29 (ISO/SAE 21434) y NIST (NIST 8259 / NIST 8425). También lo utilizan sistemas como PSA Certified y organismos de normalización como el Car Connectivity Consortium y el Wireless Power Consortium. Además de en Europa, SESIP se está adoptando en todo el mundo en mercados clave como China, donde recientemente se alcanzó un acuerdo entre GlobalPlatform y el Centro Nacional de Certificación de Tecnología Financiera de China (NFTC).
GlobalPlatform ha puesto en marcha una serie de iniciativas para ayudar a acelerar la adopción de SESIP. Se ha puesto en marcha un programa de formación disponible para cualquier interesado. También ha puesto en marcha la comunidad SESIP Adopters para ofrecer a los no miembros la posibilidad de mantenerse al día de los documentos técnicos pertinentes y mostrar productos SESIP certificados.
(GlobalPlatform)