Rámec EU pro certifikaci kybernetické bezpečnosti

Certifikace hraje klíčovou roli při zvyšování důvěry a bezpečnosti v důležité produkty a služby pro digitální svět. V současné době existuje v EU řada různých systémů certifikace bezpečnosti produktů IKT. Bez společného rámce pro platné certifikáty kybernetické bezpečnosti platné v celé EU však existuje rostoucí riziko roztříštěnosti a překážek mezi členskými státy.

Rámec pro certifikaci poskytne celounijní systémy certifikace jako komplexní soubor pravidel, technických požadavků, norem a postupů. Rámec bude založen na dohodě na úrovni EU o hodnocení bezpečnostních vlastností konkrétního produktu nebo služby založených na IKT. Potvrdí, že produkty a služby IKT, které byly certifikovány v souladu s takovým systémem, splňují stanovené požadavky.

Každý evropský systém by měl zejména specifikovat:

• kategorie výrobků a služeb, na něž se vztahuje;
• požadavky na kybernetickou bezpečnost, jako jsou normy nebo technické specifikace;
• typ hodnocení, jako je sebehodnocení nebo třetí strana;
• zamýšlenou úroveň záruky.

Úrovně záruky se používají k informování uživatelů o kybernetickém bezpečnostním riziku produktu a mohou být základní, podstatné a/nebo vysoké. Jsou úměrné úrovni rizika spojeného se zamýšleným použitím výrobku, služby nebo procesu, pokud jde o pravděpodobnost a dopad nehody. Vysoká úroveň záruky by znamenala, že certifikovaný produkt prošel nejvyššími bezpečnostními testy.

Výsledný certifikát bude uznáván ve všech členských státech EU, což usnadní podnikům přeshraniční obchod a kupujícím pochopení bezpečnostních prvků produktu nebo služby.

Další informace o práci na certifikaci kybernetické bezpečnosti EU naleznete v certifikaci kybernetické bezpečnosti agentury ENISA.

Systém EU pro certifikaci kybernetické bezpečnosti podle společných kritérií (EUCC)

První systém, který má být přijat v rámci certifikace aktu o kybernetické bezpečnosti, je založen na renomovaných mezinárodních standardech Common Criteria, které se v Evropě používají k vydávání certifikátů již téměř 30 let. Systém využívá vysoké pověsti evropských prodejců a certifikátorů, kteří používají certifikaci založenou na společných kritériích po celém světě. Režim bude prodejcům k dispozici od 27. února 2025.

Systém se bude uplatňovat na dobrovolné bázi v celé EU a zaměřuje se na certifikaci kybernetické bezpečnosti produktů IKT v jejich životním cyklu: biometrické systémy, firewally (hardware i software), detekční a reakční platformy, směrovače, přepínače, specializovaný software (jako jsou systémy SIEM a IDS/IDP), datové diody, operační systémy (včetně mobilních zařízení), šifrovaná úložiště, databáze, jakož i čipové karty a zabezpečené prvky obsažené ve všech druzích produktů, například v cestovních pasech, které denně používají všichni občané. 

Další informace o evropském certifikátu kybernetické bezpečnosti naleznete na internetových stránkách agentury ENISA věnovaných certifikaci.

Průběžný pracovní program Unie pro evropskou certifikaci kybernetické bezpečnosti (URWP)

Akt EU o kybernetické bezpečnosti předpokládá, že Komise zveřejní průběžný pracovní program Unie pro evropskou certifikaci kybernetické bezpečnosti, dokument, který stanoví strategickou vizi a úvahy o možných oblastech budoucích evropských systémů certifikace kybernetické bezpečnosti s ohledem na nedávný legislativní a tržní vývoj. 

S ohledem na akt o kybernetické odolnosti a další legislativní vývoj, jako je nařízení o evropské digitální identitě, poukazuje první pracovní program na oblasti pro budoucí evropské systémy certifikace kybernetické bezpečnosti spojené s legislativním vývojem, jakož i na oblasti pro budoucí úvahy týkající se certifikace kybernetické bezpečnosti, které by případně mohly vést k žádostem o nové systémy, je-li to nezbytné a vhodné. Dále nastiňuje strategické priority, které je třeba vzít v úvahu při přípravě jakéhokoli evropského systému certifikace kybernetické bezpečnosti. 

Pracovní program pro URWP zdůrazňuje jako oblasti pro budoucí evropskou certifikaci kybernetické bezpečnosti spojenou s právními předpisy EU, zejména peněženkami totožnosti a řízenými bezpečnostními službami.  Mezi další oblasti mohou patřit průmyslové automatizační a řídicí systémy a vývoj bezpečnostního životního cyklu na základě požadavků ratingových agentur, jakož i kryptografické mechanismy.  

Evropská skupina pro certifikaci kybernetické bezpečnosti 

Evropská skupina pro certifikaci kybernetické bezpečnosti (ECCG) byla zřízena s cílem pomoci zajistit jednotné provádění a uplatňování aktu o kybernetické bezpečnosti. Skládá se ze zástupců vnitrostátních orgánů certifikace kybernetické bezpečnosti nebo zástupců jiných příslušných vnitrostátních orgánů. ECCG má zásadní význam pro přípravu systému kandidátských certifikátů a obecné provádění certifikačního rámce.

Skupina zúčastněných stran pro certifikaci kybernetické bezpečnosti

Po vstupu aktu o kybernetické bezpečnosti v platnost v roce 2019 byla zřízena skupina zúčastněných stran pro certifikaci kybernetické bezpečnosti. 

Poradní skupina pro kybernetickou bezpečnost je odpovědná za poskytování poradenství Komisi a agentuře ENISA ve strategických otázkách týkajících se certifikace kybernetické bezpečnosti a za pomoc Komisi při přípravě průběžného pracovního programu Unie. Jedná se o první expertní skupinu zúčastněných stran pro certifikaci kybernetické bezpečnosti, kterou zřídila Evropská komise.

Sledujte práci skupiny