Rámec EU pro certifikaci kybernetické bezpečnosti pro produkty IKT umožňuje vytvořit na míru uzpůsobené systémy certifikace EU založené na rizicích.
Certifikace hraje klíčovou roli při zvyšování důvěry a bezpečnosti v důležitých produktech a službách pro digitální svět. V současné době v EU existuje řada různých systémů certifikace bezpečnosti pro produkty IKT. Bez společného rámce pro platné certifikáty kybernetické bezpečnosti v celé EU však existuje rostoucí riziko roztříštěnosti a překážek mezi členskými státy.
Rámec pro certifikaci poskytne celounijní systémy certifikace jako komplexní soubor pravidel, technických požadavků, norem a postupů. Rámec bude založen na dohodě na úrovni EU o hodnocení bezpečnostních vlastností konkrétního produktu nebo služby založené na IKT. Potvrdí, že produkty a služby IKT, které byly certifikovány v souladu s takovým systémem, splňují stanovené požadavky.
Každý evropský systém by měl zejména specifikovat:
- kategorie výrobků a služeb, na které se vztahuje;
- požadavky na kybernetickou bezpečnost, jako jsou normy nebo technické specifikace;
- druh hodnocení, jako je sebehodnocení nebo třetí strana;
- zamýšlená úroveň jistoty.
Úrovně záruky se používají k informování uživatelů o kybernetickém riziku produktu a mohou být základní, podstatné a/nebo vysoké. Jsou úměrné úrovni rizika spojeného se zamýšleným použitím výrobku, služby nebo procesu, pokud jde o pravděpodobnost a dopad nehody. Vysoká úroveň záruky by znamenala, že certifikovaný produkt prošel nejvyššími bezpečnostními testy.
Výsledné osvědčení bude uznáno ve všech členských státech EU, což podnikům usnadní přeshraniční obchod a kupující pochopí bezpečnostní prvky produktu nebo služby.
Systém certifikace kybernetické bezpečnosti založený na společných kritériích
První systém, který má být přijat v rámci certifikačního rámce aktu o kybernetické bezpečnosti, je založen na renomované mezinárodní normě Common Criteria, která se používá k vydávání certifikátů v Evropě již téměř 30 let. Systém využívá vysoké pověsti evropských prodejců a certifikačních subjektů, kteří používají certifikaci založenou na společných kritériích po celém světě.
Systém se bude uplatňovat na dobrovolném základě v celé EU a zaměřuje se na certifikaci kybernetické bezpečnosti produktů IKT v jejich životním cyklu: biometrické systémy, firewally (jak hardware, tak software), detekční a odezvové platformy, routery, přepínače, specializovaný software (jako jsou systémy SIEM a IDS/IDP), datové diody, operační systémy (včetně mobilních zařízení), šifrovaná úložiště, databáze, čipové karty a zabezpečené prvky obsažené ve všech druzích produktů, například v cestovních pasech, které denně používají všichni občané.
Průběžný pracovní program Unie pro evropskou certifikaci kybernetické bezpečnosti (URWP)
Akt EU o kybernetické bezpečnosti předpokládá, že Komise zveřejní průběžný pracovní program Unie pro evropskou certifikaci kybernetické bezpečnosti, dokument stanovující strategickou vizi a úvahy o možných oblastech budoucích evropských systémů certifikace kybernetické bezpečnosti s ohledem na nedávný legislativní a tržní vývoj.
S ohledem na akt o kybernetické odolnosti (CRA) a další legislativní vývoj, jako je evropské nařízení o digitální identitě, první URWP poukazuje na oblasti pro budoucí evropské systémy certifikace kybernetické bezpečnosti spojené s legislativním vývojem, jakož i na oblasti pro budoucí úvahy o certifikaci kybernetické bezpečnosti, které by mohly případně vést k žádostem o nové systémy, je-li to nezbytné a vhodné. Dále nastiňuje strategické priority, které je třeba vzít v úvahu při přípravě evropského systému certifikace kybernetické bezpečnosti.
URWP zdůrazňuje jako oblasti budoucí evropské certifikace kybernetické bezpečnosti související s právními předpisy EU, zejména s identifikačními peněženkami a řízenými bezpečnostními službami. Další oblasti by mohly zahrnovat průmyslové automatizační a řídicí systémy a vývoj životního cyklu bezpečnosti na základě požadavků ratingové agentury, jakož i kryptografické mechanismy.
Evropská skupina pro certifikaci kybernetické bezpečnosti
Evropská skupina pro certifikaci kybernetické bezpečnosti (ECCG) byla zřízena, aby pomohla zajistit důsledné provádění a uplatňování aktu o kybernetické bezpečnosti. Skládá se ze zástupců vnitrostátních orgánů certifikace kybernetické bezpečnosti nebo ze zástupců jiných příslušných vnitrostátních orgánů. ECCG má zásadní význam pro přípravu systému navrhovaných osvědčení a pro obecné provádění certifikačního rámce.
Skupina pro certifikaci kybernetické bezpečnosti zúčastněných stran
Po vstupu zákona o kybernetické bezpečnosti v platnost v roce 2019 byla zřízena skupina zúčastněných stran pro certifikaci kybernetické bezpečnosti (SCCG).
Skupina SCCG je odpovědná za poradenství Komisi a agentuře ENISA ve strategických otázkách týkajících se certifikace kybernetické bezpečnosti a za pomoc Komisi při přípravě průběžného pracovního programu Unie. Jedná se o první skupinu odborníků zúčastněných stran pro certifikaci kybernetické bezpečnosti, kterou zahájila Evropská komise.
Nejnovější zprávy
Související obsah
Souvislosti
Evropská unie pracuje na různých frontách, aby podpořila kybernetickou odolnost, chránila naši komunikaci a data a udržovala online společnost a ekonomiku v bezpečí.
Hlubší pohled
Evropská skupina pro certifikaci kybernetické bezpečnosti byla zřízena s cílem pomoci zajistit jednotné provádění a uplatňování aktu o kybernetické bezpečnosti.
Viz také
Akt EU o kybernetické solidaritě zlepší připravenost, odhalování a reakci na kybernetické bezpečnostní incidenty v celé EU.
Nová pravidla EU pro kybernetickou bezpečnost zajišťují bezpečnější hardware a software.
Provozovatelé základních služeb (OES), vnitrostátních certifikačních orgánů pro kybernetickou bezpečnost (NCCA) a příslušných vnitrostátních orgánů pro kybernetickou bezpečnost jsou mezi vybranými žadateli, kteří obdrží finanční prostředky ve výši 11 milionů EUR z výzvy Nástroje...
Evropská síť pro kybernetickou bezpečnost a centrum kompetencí pro kybernetickou bezpečnost pomáhají EU zachovat a rozvíjet technologické a průmyslové kapacity v oblasti kybernetické bezpečnosti.
Skupina zúčastněných stran pro certifikaci kybernetické bezpečnosti byla zřízena za účelem poskytování poradenství ohledně strategických otázek týkajících se certifikace kybernetické bezpečnosti.
Akt o kybernetické bezpečnosti posiluje Agenturu EU pro kybernetickou bezpečnost (ENISA) a zavádí rámec pro certifikaci kybernetické bezpečnosti pro produkty a služby.
Směrnice o bezpečnosti sítí a informací je celounijní legislativou v oblasti kybernetické bezpečnosti. Poskytuje právní opatření ke zvýšení celkové úrovně kybernetické bezpečnosti v EU.