Rámec EU pro certifikaci kybernetické bezpečnosti

Certifikace hraje klíčovou roli při zvyšování důvěry a bezpečnosti v důležitých produktech a službách pro digitální svět. V současné době v EU existuje řada různých systémů certifikace bezpečnosti pro produkty IKT. Bez společného rámce pro platné certifikáty kybernetické bezpečnosti v celé EU však existuje rostoucí riziko roztříštěnosti a překážek mezi členskými státy.

Rámec pro certifikaci poskytne celounijní systémy certifikace jako komplexní soubor pravidel, technických požadavků, norem a postupů. Rámec bude založen na dohodě na úrovni EU o hodnocení bezpečnostních vlastností konkrétního produktu nebo služby založené na IKT. Potvrdí, že produkty a služby IKT, které byly certifikovány v souladu s takovým systémem, splňují stanovené požadavky.

Každý evropský systém by měl zejména specifikovat:

• kategorie výrobků a služeb, na které se vztahuje;
• požadavky na kybernetickou bezpečnost, jako jsou normy nebo technické specifikace;
• druh hodnocení, jako je sebehodnocení nebo třetí strana;
• zamýšlená úroveň jistoty.

Úrovně záruky se používají k informování uživatelů o kybernetickém riziku produktu a mohou být základní, podstatné a/nebo vysoké. Jsou úměrné úrovni rizika spojeného se zamýšleným použitím výrobku, služby nebo procesu, pokud jde o pravděpodobnost a dopad nehody. Vysoká úroveň záruky by znamenala, že certifikovaný produkt prošel nejvyššími bezpečnostními testy.

Výsledné osvědčení bude uznáno ve všech členských státech EU, což podnikům usnadní přeshraniční obchod a kupující pochopí bezpečnostní prvky produktu nebo služby.

Systém certifikace kybernetické bezpečnosti založený na společných kritériích

První systém, který má být přijat v rámci certifikačního rámce aktu o kybernetické bezpečnosti, je založen na renomované mezinárodní normě Common Criteria, která se používá k vydávání certifikátů v Evropě již téměř 30 let. Systém využívá vysoké pověsti evropských prodejců a certifikačních subjektů, kteří používají certifikaci založenou na společných kritériích po celém světě. 

Systém se bude uplatňovat na dobrovolném základě v celé EU a zaměřuje se na certifikaci kybernetické bezpečnosti produktů IKT v jejich životním cyklu: biometrické systémy, firewally (jak hardware, tak software), detekční a odezvové platformy, routery, přepínače, specializovaný software (jako jsou systémy SIEM a IDS/IDP), datové diody, operační systémy (včetně mobilních zařízení), šifrovaná úložiště, databáze, čipové karty a zabezpečené prvky obsažené ve všech druzích produktů, například v cestovních pasech, které denně používají všichni občané. 

Průběžný pracovní program Unie pro evropskou certifikaci kybernetické bezpečnosti (URWP)

Akt EU o kybernetické bezpečnosti předpokládá, že Komise zveřejní průběžný pracovní program Unie pro evropskou certifikaci kybernetické bezpečnosti, dokument stanovující strategickou vizi a úvahy o možných oblastech budoucích evropských systémů certifikace kybernetické bezpečnosti s ohledem na nedávný legislativní a tržní vývoj. 

S ohledem na akt o kybernetické odolnosti (CRA) a další legislativní vývoj, jako je evropské nařízení o digitální identitě, první URWP poukazuje na oblasti pro budoucí evropské systémy certifikace kybernetické bezpečnosti spojené s legislativním vývojem, jakož i na oblasti pro budoucí úvahy o certifikaci kybernetické bezpečnosti, které by mohly případně vést k žádostem o nové systémy, je-li to nezbytné a vhodné. Dále nastiňuje strategické priority, které je třeba vzít v úvahu při přípravě evropského systému certifikace kybernetické bezpečnosti. 

URWP zdůrazňuje jako oblasti budoucí evropské certifikace kybernetické bezpečnosti související s právními předpisy EU, zejména s identifikačními peněženkami a řízenými bezpečnostními službami.  Další oblasti by mohly zahrnovat průmyslové automatizační a řídicí systémy a vývoj životního cyklu bezpečnosti na základě požadavků ratingové agentury, jakož i kryptografické mechanismy.  

Evropská skupina pro certifikaci kybernetické bezpečnosti 

Evropská skupina pro certifikaci kybernetické bezpečnosti (ECCG) byla zřízena, aby pomohla zajistit důsledné provádění a uplatňování aktu o kybernetické bezpečnosti. Skládá se ze zástupců vnitrostátních orgánů certifikace kybernetické bezpečnosti nebo ze zástupců jiných příslušných vnitrostátních orgánů. ECCG má zásadní význam pro přípravu systému navrhovaných osvědčení a pro obecné provádění certifikačního rámce.

Skupina pro certifikaci kybernetické bezpečnosti zúčastněných stran

Po vstupu zákona o kybernetické bezpečnosti v platnost v roce 2019 byla zřízena skupina zúčastněných stran pro certifikaci kybernetické bezpečnosti (SCCG). 

Skupina SCCG je odpovědná za poradenství Komisi a agentuře ENISA ve strategických otázkách týkajících se certifikace kybernetické bezpečnosti a za pomoc Komisi při přípravě průběžného pracovního programu Unie. Jedná se o první skupinu odborníků zúčastněných stran pro certifikaci kybernetické bezpečnosti, kterou zahájila Evropská komise.

Sledovat práci skupiny