EU's ramme for cybersikkerhedscertificering af IKT-produkter gør det muligt at oprette skræddersyede og risikobaserede EU-certificeringsordninger.
Certificering spiller en afgørende rolle med hensyn til at øge tilliden og sikkerheden til vigtige produkter og tjenester til den digitale verden. I øjeblikket findes der en række forskellige sikkerhedscertificeringsordninger for IKT-produkter i EU. Men uden en fælles ramme for EU-dækkende gyldige cybersikkerhedsattester er der en stigende risiko for fragmentering og barrierer mellem medlemsstaterne.
Certificeringsrammen vil tilvejebringe EU-dækkende certificeringsordninger som et omfattende sæt regler, tekniske krav, standarder og procedurer. Rammen vil være baseret på enighed på EU-plan om evaluering af sikkerhedsegenskaberne ved et specifikt IKT-baseret produkt eller en specifik IKT-baseret tjeneste. Det skal attesteres, at IKT-produkter og -tjenester, der er certificeret i overensstemmelse med en sådan ordning, opfylder specificerede krav.
Hver enkelt europæisk ordning bør navnlig angive:
- de kategorier af produkter og tjenesteydelser, der er omfattet
- cybersikkerhedskrav, såsom standarder eller tekniske specifikationer
- typen af evaluering, f.eks. selvevaluering eller tredjepart
- den tilsigtede grad af sikkerhed.
Tillidsniveauet anvendes til at informere brugerne om cybersikkerhedsrisikoen ved et produkt og kan være grundlæggende, væsentlig og/eller høj. De står i et rimeligt forhold til det risikoniveau, der er forbundet med den tilsigtede anvendelse af produktet, tjenesteydelsen eller processen, for så vidt angår sandsynligheden for og virkningen af en ulykke. Et højt sikkerhedsniveau vil betyde, at det certificerede produkt har bestået de højeste sikkerhedstest.
Det resulterende certifikat vil blive anerkendt i alle EU's medlemsstater, hvilket vil gøre det lettere for virksomheder at handle på tværs af grænserne og for købere at forstå produktets eller tjenesteydelsens sikkerhedselementer.
Fælles kriteriumbaseret cybersikkerhedscertificeringsordning
Den første ordning, der skal vedtages i henhold til cybersikkerhedslovens certificeringsramme, er baseret på de anerkendte internationale fælles kriterier, der blev brugt til at udstede certifikater i Europa i næsten 30 år nu. Ordningen drager fordel af de europæiske leverandørers og certificeringscertificeringers høje omdømme ved hjælp af de fælles kriterier-baserede certificeringer i hele verden.
Ordningen vil gælde på frivillig basis i hele EU og fokuserer på certificering af IKT-produkters cybersikkerhed i deres livscyklus: biometriske systemer, firewalls (både hardware og software), detektions- og reaktionsplatforme, routere, switches, specialiseret software (såsom SIEM- og IDS/IDP-systemer), datadioder, operativsystemer (herunder til mobile enheder), krypterede lagre, databaser samt smartkort og sikre elementer, der indgår i alle mulige produkter, f.eks. i pas, der dagligt anvendes af alle borgere.
Unionens rullende arbejdsprogram for europæisk cybersikkerhedscertificering (URWP)
I henhold til EU's retsakt om cybersikkerhed skal Kommissionen offentliggøre et rullende EU-arbejdsprogram for europæisk cybersikkerhedscertificering, et dokument med en strategisk vision og overvejelser om mulige områder for fremtidige europæiske cybersikkerhedscertificeringsordninger under hensyntagen til den seneste lovgivningsmæssige og markedsmæssige udvikling.
Under hensyntagen til forordningen om cyberrobusthed og andre lovgivningsmæssige udviklinger, såsom forordningen om europæisk digital identitet, peger det første URWP på områder for fremtidige europæiske cybersikkerhedscertificeringsordninger, der er knyttet til den lovgivningsmæssige udvikling, samt områder for fremtidige overvejelser vedrørende cybersikkerhedscertificering, hvilket i sidste ende kan føre til anmodninger om nye ordninger, hvor det er nødvendigt og hensigtsmæssigt. Desuden skitserer den de strategiske prioriteter, der skal tages i betragtning ved udarbejdelsen af en europæisk cybersikkerhedscertificeringsordning.
URWP understreger som områder for fremtidig europæisk cybersikkerhedscertificering, der er knyttet til EU-lovgivningen, navnlig ID-tegnebøger og forvaltede sikkerhedstjenester. Andre områder kan omfatte industrielle automatiserings- og kontrolsystemer og udvikling af sikkerhedslivscyklus, der bygger på CRA-kravene samt kryptografiske mekanismer.
Den europæiske cybersikkerhedscertificeringsgruppe
Den europæiske cybersikkerhedscertificeringsgruppe (ECCG) blev nedsat for at bidrage til at sikre en konsekvent gennemførelse og anvendelse af forordningen om cybersikkerhed. Det består af repræsentanter for nationale cybersikkerhedscertificeringsmyndigheder eller repræsentanter for andre relevante nationale myndigheder. ECCG er afgørende for udarbejdelsen af kandidatcertifikatordningen og den generelle gennemførelse af certificeringsrammen.
Interessentcybersikkerhedscertificeringsgruppen
Efter ikrafttrædelsen af forordningen om cybersikkerhed i 2019 blev interessentgruppen for cybersikkerhedscertificering (SCCG) nedsat.
SCCG er ansvarlig for at rådgive Kommissionen og ENISA om strategiske spørgsmål vedrørende cybersikkerhedscertificering og bistå Kommissionen med udarbejdelsen af Unionens rullende arbejdsprogram. Dette er den første interessentekspertgruppe for cybersikkerhedscertificering, der blev lanceret af Europa-Kommissionen.
Seneste nyt
Se også
Det store billede
Den Europæiske Union arbejder på forskellige fronter for at fremme cyberrobusthed, beskytte vores kommunikation og data og holde onlinesamfundet og økonomien sikker.
Grav dybere
Den europæiske cybersikkerhedscertificeringsgruppe blev oprettet for at bidrage til at sikre en konsekvent gennemførelse og anvendelse af forordningen om cybersikkerhed.
Se også
EU's retsakt om cybersolidaritet vil forbedre beredskabet, opdagelsen og reaktionen på cybersikkerhedshændelser i hele EU.
Nye EU-regler om cybersikkerhed sikrer sikrere hardware og software.
Operatører af væsentlige tjenester (OES), nationale cybersikkerhedscertificeringsmyndigheder og nationale kompetente myndigheder for cybersikkerhed er blandt de udvalgte ansøgere, der modtager 11 mio. EUR i finansiering fra Connecting Europe-facilitetens...
Det europæiske kompetencecenter for cybersikkerhed og cybersikkerhed hjælper EU med at bevare og udvikle cybersikkerhedsteknologiske og industrielle kapaciteter.
Cybersikkerhedscertificeringsgruppen for Interessenter blev oprettet for at rådgive om strategiske spørgsmål vedrørende cybersikkerhedscertificering.
Forordningen om cybersikkerhed styrker EU's Agentur for Cybersikkerhed (ENISA) og fastlægger en ramme for cybersikkerhedscertificering af produkter og tjenester.
NIS2-direktivet er den EU-dækkende lovgivning om cybersikkerhed. Den indeholder retlige foranstaltninger til at øge det overordnede cybersikkerhedsniveau i EU.