Рамката на ЕС за сертифициране на киберсигурността за продукти на информационните и комуникационните технологии (ИКТ) дава възможност за специализирани и основани на риска схеми на ЕС за сертифициране.
Сертифицирането играе решаваща роля за повишаване на доверието и сигурността в критичните продукти и услуги за цифровия свят. Понастоящем в ЕС съществуват редица различни схеми за сертифициране на сигурността на ИКТ продукти. Въпреки това, без обща рамка за валидни сертификати за киберсигурност в целия ЕС, съществува все по-голям риск от разпокъсаност и пречки между държавите членки.
Рамка за сертифициране
Рамката за сертифициране ще осигури схеми за сертифициране в целия ЕС като цялостен набор от правила, технически изисквания, стандарти и процедури. Рамката ще се основава на споразумение на равнище ЕС относно оценката на свойствата за сигурност на конкретен ИКТ продукт или услуга. Тя ще удостовери, че ИКТ продуктите и услугите, които са сертифицирани в съответствие с такава схема, отговарят на определени изисквания.
По-специално, всяка европейска схема следва да посочва:
- Обхванатите категории продукти и услуги;
- Изискванията за киберсигурност, като например стандарти или технически спецификации;
- Вида на оценката, като например самооценка или трета страна;
- Планираното ниво на увереност.
Нивата на увереност се използват за информиране на потребителите за риска за киберсигурността на даден продукт и могат да бъдат основни, съществени и/или високи. Те са съизмерими с нивото на риска, свързан с предвидената употреба на продукта, услугата или процеса, по отношение на вероятността и въздействието на произшествието. Високото ниво на сигурност би означавало, че сертифицираният продукт е преминал най-високите тестове за сигурност.
Полученият сертификат
Полученият сертификат ще бъде признат във всички държави — членки на ЕС, което ще улесни трансграничната търговия на предприятията, а купувачите — при разбирането на защитните характеристики на продукта или услугата.
За да научите повече за извършената работа по сертифицирането на кибернетичното пространство на ЕС, моля, консултирайте се със сертифицирането на киберсигурността на ENISA.
Схема на ЕС за сертифициране на киберсигурността относно общите критерии (EUCC)
Първата схема, която ще бъде приета съгласно рамката за сертифициране на Акта за киберсигурността, се основава на известния международен стандарт „Общи критерии“, използван за издаване на сертификати в Европа в продължение на почти 30 години. Схемата се възползва от високата репутация на европейските доставчици и сертифициращи органи, които използват сертифицирането въз основа на общи критерии в целия свят. Схемата ще започне да бъде достъпна за продавачите от 27 февруари 2025 г..
Схемата ще се прилага на доброволна основа в целия ЕС и ще се съсредоточи върху сертифицирането на киберсигурността на ИКТ продукти през техния жизнен цикъл, включително:
- Биометрични системи
- Защитни стени (както хардуер, така и софтуер)
- Платформи за откриване и реагиране
- Рутери
- Превключватели
- Специализиран софтуер (като SIEM и IDS/IDP системи)
- Диоди за данни
- Операционни системи (включително за мобилни устройства)
- Криптирани хранилища
- Бази данни
- Смарт карти и защитени елементи, включени във всички видове продукти, като например паспортите, използвани ежедневно от всички граждани.
За да научите повече за EUCC, моля, посетете уебсайта за сертифициране на ENISA.
Постоянна работна програма на Съюза за европейско сертифициране на киберсигурността (URWP)
Постоянната работна програма на Съюза (URWP) относно европейското сертифициране на киберсигурността беше публикувана едновременно с първата общоевропейска схема за сертифициране на киберсигурността (EUCC). В първата URWP се очертават стратегическите приоритети за бъдещите европейски схеми за сертифициране на киберсигурността, като се вземат предвид последните законодателни и пазарни промени, като например Законодателния акт за киберустойчивостта (АКР) и Регламента за европейската цифрова самоличност. Това в крайна сметка може да доведе до искания за нови схеми, когато това е необходимо и целесъобразно. Освен това в него са очертани стратегическите приоритети, които трябва да бъдат взети предвид при изготвянето на всяка европейска схема за сертифициране на киберсигурността.
В URWP се подчертават следните области за бъдещо европейско сертифициране на киберсигурността, свързани със законодателството на ЕС:
- Портфейли за самоличност
- Услуги за управление на сигурността
- Индустриални системи за автоматизация и контрол
- Разработване на жизнения цикъл на сигурността въз основа на изискванията на АКР
- Криптографски механизми
Европейска група за сертифициране на киберсигурността (ECCG)
Европейската група за сертифициране на киберсигурността (ECCG) беше създадена, за да помогне за гарантиране на последователното изпълнение и прилагане на Акта за киберсигурността. Той се състои от представители на националните органи за сертифициране на киберсигурността или от представители на други съответни национални органи. ECCG е от основно значение за подготовката на схемата за сертифициране на кандидатите и за общото прилагане на рамката за сертифициране.
Група на заинтересованите страни за сертифициране на киберсигурността (SCCG)
След влизането в сила на Акта за киберсигурността през 2019 г. беше създадена Групата на заинтересованите страни за сертифициране на киберсигурността.
SCCG отговаря за консултирането на Комисията и ENISA по стратегически въпроси, свързани със сертифицирането на киберсигурността, и за подпомагането на Комисията при изготвянето на постоянната работна програма на Съюза (URWP). Това е първата експертна група на заинтересованите страни за сертифициране на киберсигурността, създадена от Европейската комисия.
Последни новини
Съдържание по темата
Обща картина
По-задълбочено
-
Групата на заинтересованите страни в областта на сертифицирането на киберсигурността беше създадена...