Rámec EU pro certifikaci kybernetické bezpečnosti

Certifikace hraje klíčovou roli při zvyšování důvěry a bezpečnosti v kritické produkty a služby pro digitální svět. V současné době existuje v EU řada různých systémů certifikace bezpečnosti produktů IKT. Bez společného rámce pro celounijní platné certifikáty kybernetické bezpečnosti však existuje rostoucí riziko roztříštěnosti a překážek mezi členskými státy.

Rámec pro certifikaci

Rámec pro certifikaci poskytne celounijní systémy certifikace jako komplexní soubor pravidel, technických požadavků, norem a postupů. Rámec bude založen na dohodě na úrovni EU o hodnocení bezpečnostních vlastností konkrétního produktu nebo služby založených na IKT. Potvrzuje, že produkty a služby IKT, které byly certifikovány v souladu s takovým systémem, splňují stanovené požadavky.

Každý evropský systém by měl zejména specifikovat:

• kategorie výrobků a služeb, na něž se vztahuje;
• požadavky na kybernetickou bezpečnost, jako jsou normy nebo technické specifikace;
• druh hodnocení, jako je sebehodnocení nebo třetí strana;
• Zamýšlená úroveň jistoty.

Úrovně záruky se používají k informování uživatelů o kybernetickém bezpečnostním riziku produktu a mohou být základní, podstatné a / nebo vysoké. Jsou úměrné úrovni rizika spojeného se zamýšleným použitím výrobku, služby nebo procesu z hlediska pravděpodobnosti a dopadu nehody. Vysoká úroveň záruky by znamenala, že certifikovaný produkt prošel nejvyššími bezpečnostními testy.

Výsledný certifikát

Výsledný certifikát bude uznáván ve všech členských státech EU, což podnikům usnadní přeshraniční obchod a kupujícím umožní pochopit bezpečnostní prvky produktu nebo služby.

Další informace o práci vykonané v oblasti kybernetické certifikace EU naleznete v certifikaci kybernetické bezpečnosti agentury ENISA.

První systém EU pro certifikaci kybernetické bezpečnosti týkající se společných kritérií (EUCC)

První systém, který má být přijat podle certifikačního rámce aktu o kybernetické bezpečnosti, je založen na renomované mezinárodní normě Common Criteria, která se v Evropě používá k vydávání certifikátů již téměř 30 let. Systém využívá vysoké reputace evropských prodejců a certifikačních subjektů využívajících certifikaci založenou na společných kritériích po celém světě. Režim bude prodejcům k dispozici od 27. února 2025.

Systém se bude uplatňovat v celé EU na dobrovolném základě a zaměří se na certifikaci kybernetické bezpečnosti produktů IKT v jejich životním cyklu, včetně:

• Biometrické systémy
• Firewally (hardwarové i softwarové)
• Platformy pro detekci a odezvu
• Routery
• Spínače
• Specializovaný software (např. systémy SIEM a IDS/IDP)
• Datové diody
• Operační systémy (včetně mobilních zařízení)
• Šifrovaná úložiště
• Databáze
• Chytré karty a zabezpečené prvky obsažené ve všech druzích produktů, například v cestovních pasech, které denně používají všichni občané. 

Další informace o EUCC naleznete na internetových stránkách agentury ENISA věnovaných certifikaci.

Obnovený evropský rámec pro certifikaci kybernetické bezpečnosti

Dne 20. ledna 2026 navrhla Komise revidovaný akt o kybernetické bezpečnosti, kterým se obnovuje evropský rámec pro certifikaci kybernetické bezpečnosti (ECCF). Návrh zajistí, aby výrobky a služby, které se dostanou ke spotřebitelům v EU, byly testovány na bezpečnost účinnějším způsobem. Nový rámec ECCF přinese větší jasnost a jednodušší postupy pro vývoj systémů standardně do 12 měsíců. Zavede rovněž pružnější a transparentnější správu s cílem lépe zapojit zúčastněné strany prostřednictvím informování veřejnosti a konzultací.

Systémy certifikace spravované agenturou ENISA se stanou praktickým a dobrovolným nástrojem pro podniky. Umožní podnikům prokázat soulad s právními předpisy EU, čímž se sníží zátěž a náklady. Pro občany EU, podniky a veřejné orgány zajistí vysokou úroveň bezpečnosti a důvěry ve složité dodavatelské řetězce IKT. 

Průběžný pracovní program Unie pro evropskou certifikaci kybernetické bezpečnosti

Průběžný pracovní program Unie pro evropskou certifikaci kybernetické bezpečnosti byl zveřejněn současně s prvním celounijním systémem certifikace kybernetické bezpečnosti (EUCC). První URWP nastiňuje strategické priority pro budoucí evropské systémy certifikace kybernetické bezpečnosti s přihlédnutím k nedávnému legislativnímu a tržnímu vývoji, jako je akt o kybernetické odolnosti a nařízení o evropské digitální identitě. To by nakonec mohlo vést k žádostem o nové režimy tam, kde je to nezbytné a vhodné. Dále nastiňuje strategické priority, které je třeba vzít v úvahu při přípravě jakéhokoli evropského systému certifikace kybernetické bezpečnosti. 

URWP zdůrazňuje následující oblasti pro budoucí evropskou certifikaci kybernetické bezpečnosti spojenou s právními předpisy EU:

• ID peněženky
• Řízené bezpečnostní služby
• Průmyslové automatizační a řídicí systémy
• Vývoj životního cyklu bezpečnosti na základě požadavků ratingové agentury
• Kryptografické mechanismy

Evropská skupina pro certifikaci kybernetické bezpečnosti (ECCG)

Evropská skupina pro certifikaci kybernetické bezpečnosti (ECCG) byla zřízena s cílem pomoci zajistit jednotné provádění a uplatňování aktu o kybernetické bezpečnosti. Skládá se ze zástupců vnitrostátních orgánů certifikace kybernetické bezpečnosti nebo zástupců jiných příslušných vnitrostátních orgánů. Evropská skupina pro certifikaci kybernetické bezpečnosti má zásadní význam pro přípravu návrhu systému osvědčení a obecné provádění certifikačního rámce.

Skupina zúčastněných stran pro certifikaci kybernetické bezpečnosti (SCCG)

Poté, co v roce 2019 vstoupil v platnost akt o kybernetické bezpečnosti, byla zřízena skupina zúčastněných stran pro certifikaci kybernetické bezpečnosti. 

Koordinační skupina pro kybernetickou bezpečnost je odpovědná za poskytování poradenství Komisi a agentuře ENISA ve strategických otázkách týkajících se certifikace kybernetické bezpečnosti a za pomoc Komisi při přípravě průběžného pracovního programu Unie. Jedná se o první odbornou skupinu zúčastněných stran pro certifikaci kybernetické bezpečnosti, kterou zahájila Evropská komise.

Sledujte práci skupiny