Skip to main content
Shaping Europe’s digital future

Рамката на ЕС за сертифициране на киберсигурността

Рамката на ЕС за сертифициране на киберсигурността на ИКТ продукти дава възможност за създаването на адаптирани и основани на риска схеми на ЕС за сертифициране.

    Човек, който държи таблет с ръка нагоре, така че екранът да не се показва. Над екрана има катинар, заобиколен от по-малки икони, представящи дигиталния свят.

© iStock by Getty Images -1159281243 Wojtek Skora

Сертифицирането играе решаваща роля за повишаване на доверието и сигурността във важни продукти и услуги за цифровия свят. Понастоящем в ЕС съществуват редица различни схеми за сертифициране на сигурността на ИКТ продукти. Но без обща рамка за валидни сертификати за киберсигурност в целия ЕС съществува все по-голям риск от разпокъсаност и пречки между държавите членки.

Рамката за сертифициране ще осигури схеми за сертифициране в целия ЕС като цялостен набор от правила, технически изисквания, стандарти и процедури. Рамката ще се основава на споразумение на равнище ЕС относно оценката на свойствата за сигурност на конкретен ИКТ продукт или услуга. Тя ще удостовери, че ИКТ продуктите и услугите, които са сертифицирани в съответствие с такава схема, отговарят на определени изисквания.

По-специално, всяка европейска схема следва да посочва:

  • обхванатите категории продукти и услуги;
  • изискванията за киберсигурност, като например стандарти или технически спецификации;
  • вида на оценката, като например самооценка или трета страна;
  • планираното ниво на увереност.

Нивата на увереност се използват за информиране на потребителите относно риска за киберсигурността на даден продукт и могат да бъдат основни, съществени и/или високи. Те са съизмерими с нивото на риска, свързан с предвидената употреба на продукта, услугата или процеса, по отношение на вероятността и въздействието на произшествието. Високото ниво на сигурност би означавало, че сертифицираният продукт е преминал най-високите тестове за сигурност.

Полученият сертификат ще бъде признат във всички държави — членки на ЕС, което ще улесни трансграничната търговия на предприятията, а купувачите — при разбирането на защитните характеристики на продукта или услугата.

Схема за сертифициране на киберсигурността, основана на общи критерии

Първата схема, която ще бъде приета съгласно рамката за сертифициране на Акта за киберсигурността, се основава на известния международен стандарт „Общи критерии“, използван за издаване на сертификати в Европа в продължение на почти 30 години. Схемата се възползва от високата репутация на европейските доставчици и сертифициращи органи, които използват сертифицирането въз основа на общи критерии в целия свят. 

Схемата ще се прилага на доброволна основа в целия ЕС и ще се съсредоточи върху сертифицирането на киберсигурността на ИКТ продукти през техния жизнен цикъл: биометрични системи, защитни стени (както хардуер, така и софтуер), платформи за откриване и реагиране, рутери, превключватели, специализиран софтуер (като SIEM и IDS/IDP системи), диоди за данни, операционни системи (включително за мобилни устройства), криптирани хранилища, бази данни, както и смарт карти и защитени елементи, включени във всички видове продукти, като например паспортите, използвани ежедневно от всички граждани. 

Постоянна работна програма на Съюза за европейско сертифициране на киберсигурността (URWP)

Актът на ЕС за киберсигурност предвижда публикуването от Комисията на постоянна работна програма на Съюза за европейско сертифициране на киберсигурността — документ, в който се излага стратегическа визия и разсъждения относно възможните области на бъдещите европейски схеми за сертифициране на киберсигурността, като се вземат предвид последните законодателни и пазарни промени. 

Като се вземат предвид Законодателният акт за киберустойчивостта (АКР) и други законодателни промени, като например Регламента за европейската цифрова самоличност, първият URWP посочва области за бъдещи европейски схеми за сертифициране на киберсигурността, свързани със законодателни промени, както и области за бъдещо обмисляне по отношение на сертифицирането на киберсигурността, които в крайна сметка биха могли да доведат до искания за нови схеми, когато това е необходимо и целесъобразно. Освен това в него са очертани стратегическите приоритети, които трябва да бъдат взети предвид при изготвянето на всяка европейска схема за сертифициране на киберсигурността. 

URWP подчертава като области за бъдещо европейско сертифициране на киберсигурността, свързани със законодателството на ЕС, по-специално ID портфейлите и управляваните услуги за сигурност.  Други области могат да включват системи за промишлена автоматизация и контрол и разработване на жизнения цикъл на сигурността въз основа на изискванията на АКР, както и криптографски механизми.  

Европейска група за сертифициране на киберсигурността 

Европейската група за сертифициране на киберсигурността (ECCG) беше създадена, за да помогне за гарантиране на последователното изпълнение и прилагане на Акта за киберсигурността. Той се състои от представители на националните органи за сертифициране на киберсигурността или от представители на други съответни национални органи. ECCG е от основно значение за подготовката на схемата за сертифициране на кандидатите и за общото прилагане на рамката за сертифициране.

Група за сертифициране на киберсигурността на заинтересованите страни

След влизането в сила на Акта за киберсигурността през 2019 г. беше създадена Групата на заинтересованите страни за сертифициране на киберсигурността. 

SCCG отговаря за консултирането на Комисията и ENISA по стратегически въпроси, свързани със сертифицирането на киберсигурността, и за подпомагането на Комисията при изготвянето на текущата работна програма на Съюза. Това е първата експертна група на заинтересованите страни за сертифициране на киберсигурността, създадена от Европейската комисия.

Следете работата на групата

Последни новини

PRESS RELEASE |
ЕС и Република Корея потвърждават отново партньорството си за приобщаваща и устойчива цифрова трансформация

Днес ЕС и Република Корея проведоха втория Съвет за цифрово партньорство в Брюксел. Съветът беше съпредседателстван от комисаря по въпросите на вътрешния пазар Тиери Бретон и от корейския министър на науката, информационните и комуникационните технологии д-р Лий Джонг-Хо.

DIGIBYTE |
DHS и ГД „Съобщителни мрежи, съдържание и технологии“ обявяват инициатива за сравняване на докладването на киберинциденти с цел по-добро съгласуване на трансатлантическите подходи

Първата стъпка в тази целенасочена инициатива включва анализ на сходствата и разликите между препоръките на доклада на DHS относно хармонизирането на докладването на киберинциденти пред федералното правителство и рамката за докладване на инциденти в областта на киберсигурността съгласно Директивата за МИС 2 в ЕС.

PRESS RELEASE |
Публикуван е нов сборник за киберсигурността относно начините за защита на почтеността на изборите

Днес държавите членки, с подкрепата на Комисията и ENISA — Агенцията на ЕС за киберсигурност, публикуваха нов сборник за това как да се защити почтеността на изборите от гледна точка на киберсигурността.

PRESS RELEASE |
Комисията приветства политическото споразумение относно Законодателния акт за киберсолидарност

Комисията приветства постигнатото миналата нощ политическо споразумение между Европейския парламент и Съвета относно Законодателния акт за киберсолидарност, предложен от Комисията през април 2023 г.

Съдържание по темата

Обща картина

Политики в областта на киберсигурността

Европейският съюз работи на различни фронтове за насърчаване на киберустойчивостта, защита на комуникацията и данните ни и гарантиране на сигурността на онлайн обществото и икономиката.

По-задълбочено

Вижте също

22 проекта за киберсигурност, избрани да получат 10,9 млн. евро

Операторите на основни услуги (OES), националните органи за сертифициране на киберсигурността (NCCA) и националните компетентни органи (НКО) за киберсигурност са сред избраните кандидати, които ще получат финансиране в размер на 11 милиона евро по поканата за киберсигурност по...

Акт на ЕС за киберсигурността

С Акта за киберсигурността се укрепва Агенцията на ЕС за киберсигурност (ENISA) и се създава рамка за сертифициране на киберсигурността за продукти и услуги.