Rámec EU pro certifikaci kybernetické bezpečnosti produktů IKT umožňuje vytvářet systémy certifikace EU přizpůsobené na míru a založené na posouzení rizik.
Certifikace hraje klíčovou roli při zvyšování důvěry a bezpečnosti v důležité produkty a služby pro digitální svět. V současné době existuje v EU řada různých systémů certifikace bezpečnosti produktů IKT. Bez společného rámce pro platné certifikáty kybernetické bezpečnosti platné v celé EU však existuje rostoucí riziko roztříštěnosti a překážek mezi členskými státy.
Rámec pro certifikaci poskytne celounijní systémy certifikace jako komplexní soubor pravidel, technických požadavků, norem a postupů. Rámec bude založen na dohodě na úrovni EU o hodnocení bezpečnostních vlastností konkrétního produktu nebo služby založených na IKT. Potvrdí, že produkty a služby IKT, které byly certifikovány v souladu s takovým systémem, splňují stanovené požadavky.
Každý evropský systém by měl zejména specifikovat:
- kategorie výrobků a služeb, na něž se vztahuje;
- požadavky na kybernetickou bezpečnost, jako jsou normy nebo technické specifikace;
- typ hodnocení, jako je sebehodnocení nebo třetí strana;
- zamýšlenou úroveň záruky.
Úrovně záruky se používají k informování uživatelů o kybernetickém bezpečnostním riziku produktu a mohou být základní, podstatné a/nebo vysoké. Jsou úměrné úrovni rizika spojeného se zamýšleným použitím výrobku, služby nebo procesu, pokud jde o pravděpodobnost a dopad nehody. Vysoká úroveň záruky by znamenala, že certifikovaný produkt prošel nejvyššími bezpečnostními testy.
Výsledný certifikát bude uznáván ve všech členských státech EU, což usnadní podnikům přeshraniční obchod a kupujícím pochopení bezpečnostních prvků produktu nebo služby.
Další informace o práci na certifikaci kybernetické bezpečnosti EU naleznete v certifikaci kybernetické bezpečnosti agentury ENISA.
Systém EU pro certifikaci kybernetické bezpečnosti podle společných kritérií (EUCC)
První systém, který má být přijat v rámci certifikace aktu o kybernetické bezpečnosti, je založen na renomovaných mezinárodních standardech Common Criteria, které se v Evropě používají k vydávání certifikátů již téměř 30 let. Systém využívá vysoké pověsti evropských prodejců a certifikátorů, kteří používají certifikaci založenou na společných kritériích po celém světě. Režim bude prodejcům k dispozici od 27. února 2025.
Systém se bude uplatňovat na dobrovolné bázi v celé EU a zaměřuje se na certifikaci kybernetické bezpečnosti produktů IKT v jejich životním cyklu: biometrické systémy, firewally (hardware i software), detekční a reakční platformy, směrovače, přepínače, specializovaný software (jako jsou systémy SIEM a IDS/IDP), datové diody, operační systémy (včetně mobilních zařízení), šifrovaná úložiště, databáze, jakož i čipové karty a zabezpečené prvky obsažené ve všech druzích produktů, například v cestovních pasech, které denně používají všichni občané.
Další informace o evropském certifikátu kybernetické bezpečnosti naleznete na internetových stránkách agentury ENISA věnovaných certifikaci.
Průběžný pracovní program Unie pro evropskou certifikaci kybernetické bezpečnosti (URWP)
Akt EU o kybernetické bezpečnosti předpokládá, že Komise zveřejní průběžný pracovní program Unie pro evropskou certifikaci kybernetické bezpečnosti, dokument, který stanoví strategickou vizi a úvahy o možných oblastech budoucích evropských systémů certifikace kybernetické bezpečnosti s ohledem na nedávný legislativní a tržní vývoj.
S ohledem na akt o kybernetické odolnosti a další legislativní vývoj, jako je nařízení o evropské digitální identitě, poukazuje první pracovní program na oblasti pro budoucí evropské systémy certifikace kybernetické bezpečnosti spojené s legislativním vývojem, jakož i na oblasti pro budoucí úvahy týkající se certifikace kybernetické bezpečnosti, které by případně mohly vést k žádostem o nové systémy, je-li to nezbytné a vhodné. Dále nastiňuje strategické priority, které je třeba vzít v úvahu při přípravě jakéhokoli evropského systému certifikace kybernetické bezpečnosti.
Pracovní program pro URWP zdůrazňuje jako oblasti pro budoucí evropskou certifikaci kybernetické bezpečnosti spojenou s právními předpisy EU, zejména peněženkami totožnosti a řízenými bezpečnostními službami. Mezi další oblasti mohou patřit průmyslové automatizační a řídicí systémy a vývoj bezpečnostního životního cyklu na základě požadavků ratingových agentur, jakož i kryptografické mechanismy.
Evropská skupina pro certifikaci kybernetické bezpečnosti
Evropská skupina pro certifikaci kybernetické bezpečnosti (ECCG) byla zřízena s cílem pomoci zajistit jednotné provádění a uplatňování aktu o kybernetické bezpečnosti. Skládá se ze zástupců vnitrostátních orgánů certifikace kybernetické bezpečnosti nebo zástupců jiných příslušných vnitrostátních orgánů. ECCG má zásadní význam pro přípravu systému kandidátských certifikátů a obecné provádění certifikačního rámce.
Skupina zúčastněných stran pro certifikaci kybernetické bezpečnosti
Po vstupu aktu o kybernetické bezpečnosti v platnost v roce 2019 byla zřízena skupina zúčastněných stran pro certifikaci kybernetické bezpečnosti.
Poradní skupina pro kybernetickou bezpečnost je odpovědná za poskytování poradenství Komisi a agentuře ENISA ve strategických otázkách týkajících se certifikace kybernetické bezpečnosti a za pomoc Komisi při přípravě průběžného pracovního programu Unie. Jedná se o první expertní skupinu zúčastněných stran pro certifikaci kybernetické bezpečnosti, kterou zřídila Evropská komise.
Nejnovější zprávy
Související obsah
Souvislosti
Evropská unie pracuje na různých frontách, aby podpořila kybernetickou odolnost, chránila naši komunikaci a data a udržovala online společnost a ekonomiku v bezpečí.
Hlubší pohled
Evropská skupina pro certifikaci kybernetické bezpečnosti byla zřízena s cílem pomoci zajistit jednotné provádění a uplatňování aktu o kybernetické bezpečnosti.
Viz také
Akt EU o kybernetické solidaritě zlepší připravenost, odhalování a reakci na kybernetické bezpečnostní incidenty v celé EU.
Nová pravidla EU pro kybernetickou bezpečnost zajišťují bezpečnější hardware a software.
Provozovatelé základních služeb (OES), vnitrostátních certifikačních orgánů pro kybernetickou bezpečnost (NCCA) a příslušných vnitrostátních orgánů pro kybernetickou bezpečnost jsou mezi vybranými žadateli, kteří obdrží finanční prostředky ve výši 11 milionů EUR z výzvy Nástroje...
Evropská síť pro kybernetickou bezpečnost a centrum kompetencí pro kybernetickou bezpečnost pomáhají EU zachovat a rozvíjet technologické a průmyslové kapacity v oblasti kybernetické bezpečnosti.
Skupina zúčastněných stran pro certifikaci kybernetické bezpečnosti byla zřízena za účelem poskytování poradenství ohledně strategických otázek týkajících se certifikace kybernetické bezpečnosti.
Akt o kybernetické bezpečnosti posiluje Agenturu EU pro kybernetickou bezpečnost (ENISA) a zavádí rámec pro certifikaci kybernetické bezpečnosti pro produkty a služby.
Směrnice o bezpečnosti sítí a informací je celounijní legislativou v oblasti kybernetické bezpečnosti. Poskytuje právní opatření ke zvýšení celkové úrovně kybernetické bezpečnosti v EU.