EU's ramme for cybersikkerhedscertificering

EU's ramme for cybersikkerhedscertificering af IKT-produkter gør det muligt at oprette skræddersyede og risikobaserede EU-certificeringsordninger.

Person, der holder tablet med hånden vendt opad, så skærmen ikke vises. Der er en hængelås over skærmen, omgivet af mindre ikoner, der repræsenterer den digitale verden. — © iStock by Getty Images -1159281243 Wojtek Skora

Certificering spiller en afgørende rolle med hensyn til at øge tilliden og sikkerheden til vigtige produkter og tjenester til den digitale verden. I øjeblikket findes der en række forskellige sikkerhedscertificeringsordninger for IKT-produkter i EU. Men uden en fælles ramme for EU-dækkende gyldige cybersikkerhedsattester er der en stigende risiko for fragmentering og barrierer mellem medlemsstaterne.

Certificeringsrammen vil tilvejebringe EU-dækkende certificeringsordninger som et omfattende sæt regler, tekniske krav, standarder og procedurer. Rammen vil være baseret på enighed på EU-plan om evaluering af sikkerhedsegenskaberne ved et specifikt IKT-baseret produkt eller en specifik IKT-baseret tjeneste. Det skal attesteres, at IKT-produkter og -tjenester, der er certificeret i overensstemmelse med en sådan ordning, opfylder specificerede krav.

Hver enkelt europæisk ordning bør navnlig angive:

de kategorier af produkter og tjenesteydelser, der er omfattet
cybersikkerhedskrav, såsom standarder eller tekniske specifikationer
typen af evaluering, f.eks. selvevaluering eller tredjepart
den tilsigtede grad af sikkerhed.

Tillidsniveauet anvendes til at informere brugerne om cybersikkerhedsrisikoen ved et produkt og kan være grundlæggende, væsentlig og/eller høj. De står i et rimeligt forhold til det risikoniveau, der er forbundet med den tilsigtede anvendelse af produktet, tjenesteydelsen eller processen, for så vidt angår sandsynligheden for og virkningen af en ulykke. Et højt sikkerhedsniveau vil betyde, at det certificerede produkt har bestået de højeste sikkerhedstest.

Det resulterende certifikat vil blive anerkendt i alle EU's medlemsstater, hvilket vil gøre det lettere for virksomheder at handle på tværs af grænserne og for købere at forstå produktets eller tjenesteydelsens sikkerhedselementer.

Fælles kriteriumbaseret cybersikkerhedscertificeringsordning

Den første ordning, der skal vedtages i henhold til cybersikkerhedslovens certificeringsramme, er baseret på de anerkendte internationale fælles kriterier, der blev brugt til at udstede certifikater i Europa i næsten 30 år nu. Ordningen drager fordel af de europæiske leverandørers og certificeringscertificeringers høje omdømme ved hjælp af de fælles kriterier-baserede certificeringer i hele verden.

Ordningen vil gælde på frivillig basis i hele EU og fokuserer på certificering af IKT-produkters cybersikkerhed i deres livscyklus: biometriske systemer, firewalls (både hardware og software), detektions- og reaktionsplatforme, routere, switches, specialiseret software (såsom SIEM- og IDS/IDP-systemer), datadioder, operativsystemer (herunder til mobile enheder), krypterede lagre, databaser samt smartkort og sikre elementer, der indgår i alle mulige produkter, f.eks. i pas, der dagligt anvendes af alle borgere.

Unionens rullende arbejdsprogram for europæisk cybersikkerhedscertificering (URWP)

I henhold til EU's retsakt om cybersikkerhed skal Kommissionen offentliggøre et rullende EU-arbejdsprogram for europæisk cybersikkerhedscertificering, et dokument med en strategisk vision og overvejelser om mulige områder for fremtidige europæiske cybersikkerhedscertificeringsordninger under hensyntagen til den seneste lovgivningsmæssige og markedsmæssige udvikling.

Under hensyntagen til forordningen om cyberrobusthed og andre lovgivningsmæssige udviklinger, såsom forordningen om europæisk digital identitet, peger det første URWP på områder for fremtidige europæiske cybersikkerhedscertificeringsordninger, der er knyttet til den lovgivningsmæssige udvikling, samt områder for fremtidige overvejelser vedrørende cybersikkerhedscertificering, hvilket i sidste ende kan føre til anmodninger om nye ordninger, hvor det er nødvendigt og hensigtsmæssigt. Desuden skitserer den de strategiske prioriteter, der skal tages i betragtning ved udarbejdelsen af en europæisk cybersikkerhedscertificeringsordning.

URWP understreger som områder for fremtidig europæisk cybersikkerhedscertificering, der er knyttet til EU-lovgivningen, navnlig ID-tegnebøger og forvaltede sikkerhedstjenester. Andre områder kan omfatte industrielle automatiserings- og kontrolsystemer og udvikling af sikkerhedslivscyklus, der bygger på CRA-kravene samt kryptografiske mekanismer.

Den europæiske cybersikkerhedscertificeringsgruppe

Den europæiske cybersikkerhedscertificeringsgruppe (ECCG) blev nedsat for at bidrage til at sikre en konsekvent gennemførelse og anvendelse af forordningen om cybersikkerhed. Det består af repræsentanter for nationale cybersikkerhedscertificeringsmyndigheder eller repræsentanter for andre relevante nationale myndigheder. ECCG er afgørende for udarbejdelsen af kandidatcertifikatordningen og den generelle gennemførelse af certificeringsrammen.

Interessentcybersikkerhedscertificeringsgruppen

Efter ikrafttrædelsen af forordningen om cybersikkerhed i 2019 blev interessentgruppen for cybersikkerhedscertificering (SCCG) nedsat.

SCCG er ansvarlig for at rådgive Kommissionen og ENISA om strategiske spørgsmål vedrørende cybersikkerhedscertificering og bistå Kommissionen med udarbejdelsen af Unionens rullende arbejdsprogram. Dette er den første interessentekspertgruppe for cybersikkerhedscertificering, der blev lanceret af Europa-Kommissionen.

Følg gruppens arbejde

Seneste nyt

PRESS RELEASE | 11 April 2024

Kommissionen offentliggør henstilling om post-Quantum Cryptography

Kommissionen har i dag offentliggjort en henstilling om postkvantekryptografi for at tilskynde medlemsstaterne til at udvikle og gennemføre en harmoniseret tilgang i takt med EU's overgang til postkvantekryptografi. Dette vil bidrage til at sikre, at EU's digitale infrastrukturer og tjenester er sikre i den næste digitale tidsalder.

PRESS RELEASE | 05 April 2024

EU og USA fortsætter et stærkt handels- og teknologisamarbejde i en tid med globale udfordringer

I dag afholdt EU og USA det sjette møde i Handels- og Teknologirådet mellem EU og USA (TTC) i Leuven, Belgien. Mødet gav ministrene mulighed for at bygge videre på det igangværende arbejde og fremlægge nye resultater af TTC efter to et halvt års samarbejde.

PRESS RELEASE | 26 Marts 2024

EU og Republikken Korea bekræfter deres partnerskab for en inklusiv og modstandsdygtig digital omstilling

EU og Republikken Korea holdt det andet møde i Rådet (digitalt partnerskab) i Bruxelles. Rådet blev ledet i fællesskab af kommissær med ansvar for det indre marked, Thierry Breton, og af den koreanske minister for videnskab og informations- og kommunikationsteknologi, Dr. Lee Jong-Ho.

DIGIBYTE | 20 Marts 2024

DHS og GD CONNECT annoncerer initiativ til sammenligning af indberetning af cyberhændelser med henblik på bedre tilpasning af transatlantiske tilgange

Det første skridt i dette fokuserede initiativ omfatter en analyse af ligheder og forskelle mellem anbefalingerne i DHS-rapporten om harmonisering af indberetning af cyberhændelser til forbundsregeringen og rammen for rapportering af cybersikkerhedshændelser i henhold til NIS 2-direktivet i EU.

Søg på Cybersecurity

Se også

Det store billede

Cybersikkerhedspolitik

Den Europæiske Union arbejder på forskellige fronter for at fremme cyberrobusthed, beskytte vores kommunikation og data og holde onlinesamfundet og økonomien sikker.

Grav dybere

Den europæiske cybersikkerhedscertificeringsgruppe

Den europæiske cybersikkerhedscertificeringsgruppe blev nedsat for at bidrage til at sikre en konsekvent gennemførelse og anvendelse af forordningen om cybersikkerhed.

Se også

EU's retsakt om cybersolidaritet

EU's retsakt om cybersolidaritet vil forbedre beredskabet, opdagelsen og reaktionen på cybersikkerhedshændelser i hele EU.

EU's retsakt om cyberrobusthed

Nye EU-regler for cybersikkerhed sikrer sikrere hardware og software.

22 projekter vedrørende cybersikkerhed, der er udvalgt til at modtage 10,9 mio. EUR

Operatører af væsentlige tjenester (OES), nationale cybersikkerhedscertificeringsmyndigheder og nationale kompetente myndigheder for cybersikkerhed er blandt de udvalgte ansøgere, der modtager 11 mio. EUR i finansiering fra Connecting Europe-facilitetens...

Det europæiske kompetencenetværk og -center for cybersikkerhed

Det europæiske kompetencecenter for cybersikkerhed og cybersikkerhed hjælper EU med at bevare og udvikle cybersikkerhedsteknologiske og industrielle kapaciteter.

Interessentcybersikkerhedscertificeringsgruppen

Interessentgruppen for cybersikkerhedscertificering blev nedsat for at rådgive om strategiske spørgsmål vedrørende cybersikkerhedscertificering.

EU's lov om cybersikkerhed

Forordningen om cybersikkerhed styrker EU's Agentur for Cybersikkerhed (ENISA) og fastlægger en ramme for cybersikkerhedscertificering af produkter og tjenester.

Direktiv om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen (NIS2-direktivet)

NIS2-direktivet er den EU-dækkende lovgivning om cybersikkerhed. Den indeholder retlige foranstaltninger til at øge det overordnede cybersikkerhedsniveau i EU.

EU&#39;s ramme for cybersikkerhedscertificering

Fælles kriteriumbaseret cybersikkerhedscertificeringsordning

Unionens rullende arbejdsprogram for europæisk cybersikkerhedscertificering (URWP)

Den europæiske cybersikkerhedscertificeringsgruppe

Interessentcybersikkerhedscertificeringsgruppen

Seneste nyt

Se også

Det store billede

Last update

EU's ramme for cybersikkerhedscertificering