Το πλαίσιο της ΕΕ για την πιστοποίηση της κυβερνοασφάλειας

Η πιστοποίηση διαδραματίζει καίριο ρόλο στην αύξηση της εμπιστοσύνης και της ασφάλειας σε σημαντικά προϊόντα και υπηρεσίες για τον ψηφιακό κόσμο. Επί του παρόντος, στην ΕΕ υπάρχουν διάφορα συστήματα πιστοποίησης της ασφάλειας για τα προϊόντα ΤΠΕ. Ωστόσο, χωρίς κοινό πλαίσιο για έγκυρα πιστοποιητικά κυβερνοασφάλειας σε επίπεδο ΕΕ, υπάρχει αυξανόμενος κίνδυνος κατακερματισμού και εμποδίων μεταξύ των κρατών μελών.

Το πλαίσιο πιστοποίησης θα παρέχει συστήματα πιστοποίησης σε επίπεδο ΕΕ ως ολοκληρωμένο σύνολο κανόνων, τεχνικών απαιτήσεων, προτύπων και διαδικασιών. Το πλαίσιο θα βασίζεται σε συμφωνία σε επίπεδο ΕΕ σχετικά με την αξιολόγηση των ιδιοτήτων ασφαλείας ενός συγκεκριμένου προϊόντος ή υπηρεσίας που βασίζεται στις ΤΠΕ. Βεβαιώνει ότι τα προϊόντα και οι υπηρεσίες ΤΠΕ που έχουν πιστοποιηθεί σύμφωνα με ένα τέτοιο σύστημα συμμορφώνονται με συγκεκριμένες απαιτήσεις.

Ειδικότερα, κάθε ευρωπαϊκό σύστημα θα πρέπει να προσδιορίζει:

• τις κατηγορίες προϊόντων και υπηρεσιών που καλύπτονται·
• τις απαιτήσεις κυβερνοασφάλειας, όπως πρότυπα ή τεχνικές προδιαγραφές·
• το είδος της αξιολόγησης, όπως αυτοαξιολόγηση ή τρίτο μέρος·
• το επιδιωκόμενο επίπεδο διασφάλισης.

Τα επίπεδα διασφάλισης χρησιμοποιούνται για την ενημέρωση των χρηστών σχετικά με τον κίνδυνο κυβερνοασφάλειας ενός προϊόντος και μπορεί να είναι βασικά, σημαντικά και/ή υψηλά. Είναι ανάλογα με το επίπεδο κινδύνου που συνδέεται με την προβλεπόμενη χρήση του προϊόντος, της υπηρεσίας ή της διαδικασίας, όσον αφορά την πιθανότητα και τον αντίκτυπο ενός ατυχήματος. Ένα υψηλό επίπεδο διασφάλισης θα σήμαινε ότι το πιστοποιημένο προϊόν πέρασε τις υψηλότερες δοκιμές ασφαλείας.

Το πιστοποιητικό που προκύπτει θα αναγνωρίζεται σε όλα τα κράτη μέλη της ΕΕ, καθιστώντας ευκολότερο για τις επιχειρήσεις να πραγματοποιούν διασυνοριακές συναλλαγές και για τους αγοραστές να κατανοούν τα χαρακτηριστικά ασφαλείας του προϊόντος ή της υπηρεσίας.

Σύστημα πιστοποίησης της κυβερνοασφάλειας βάσει κοινών κριτηρίων

Το πρώτο σύστημα που θα εγκριθεί βάσει του πλαισίου πιστοποίησης της πράξης για την ασφάλεια στον κυβερνοχώρο βασίζεται στο γνωστό διεθνές πρότυπο κοινών κριτηρίων, το οποίο χρησιμοποιείται για την έκδοση πιστοποιητικών στην Ευρώπη εδώ και σχεδόν 30 χρόνια. Το σύστημα αξιοποιεί την υψηλή φήμη των Ευρωπαίων πωλητών και πιστοποιητών που χρησιμοποιούν την πιστοποίηση βάσει κοινών κριτηρίων σε ολόκληρο τον κόσμο. 

Το σύστημα θα εφαρμόζεται σε εθελοντική βάση σε επίπεδο ΕΕ και θα επικεντρώνεται στην πιστοποίηση της κυβερνοασφάλειας των προϊόντων ΤΠΕ κατά τον κύκλο ζωής τους: βιομετρικά συστήματα, τείχη προστασίας (τόσο υλισμικό όσο και λογισμικό), πλατφόρμες ανίχνευσης και απόκρισης, δρομολογητές, διακόπτες, εξειδικευμένο λογισμικό (όπως συστήματα SIEM και IDS/IDP), διόδους δεδομένων, λειτουργικά συστήματα (συμπεριλαμβανομένων των κινητών συσκευών), κρυπτογραφημένους αποθηκευτικούς χώρους, βάσεις δεδομένων, καθώς και έξυπνες κάρτες και ασφαλή στοιχεία που περιλαμβάνονται σε όλα τα είδη προϊόντων, όπως στα διαβατήρια που χρησιμοποιούνται καθημερινά από όλους τους πολίτες. 

Κυλιόμενο πρόγραμμα εργασιών της Ένωσης για την ευρωπαϊκή πιστοποίηση της κυβερνοασφάλειας (URWP)

Η πράξη της ΕΕ για την ασφάλεια στον κυβερνοχώρο προβλέπει τη δημοσίευση από την Επιτροπή ενός κυλιόμενου προγράμματος εργασίας της Ένωσης για την ευρωπαϊκή πιστοποίηση της κυβερνοασφάλειας, ενός εγγράφου που παρουσιάζει ένα στρατηγικό όραμα και προβληματισμούς σχετικά με πιθανούς τομείς για τα μελλοντικά ευρωπαϊκά συστήματα πιστοποίησης της ασφάλειας στον κυβερνοχώρο, λαμβάνοντας υπόψη τις πρόσφατες νομοθετικές εξελίξεις και εξελίξεις στην αγορά. 

Λαμβάνοντας υπόψη την πράξη για την ανθεκτικότητα στον κυβερνοχώρο (CRA) και άλλες νομοθετικές εξελίξεις, όπως ο ευρωπαϊκός κανονισμός για την ψηφιακή ταυτότητα, η πρώτη URWP επισημαίνει τομείς για μελλοντικά ευρωπαϊκά συστήματα πιστοποίησης της κυβερνοασφάλειας που συνδέονται με νομοθετικές εξελίξεις, καθώς και τομείς για μελλοντικό προβληματισμό όσον αφορά την πιστοποίηση της κυβερνοασφάλειας, οι οποίοι ενδέχεται να οδηγήσουν τελικά σε αιτήματα για νέα συστήματα, όπου είναι αναγκαίο και σκόπιμο. Επιπλέον, περιγράφει τις στρατηγικές προτεραιότητες που πρέπει να λαμβάνονται υπόψη κατά την προετοιμασία οποιουδήποτε ευρωπαϊκού συστήματος πιστοποίησης της κυβερνοασφάλειας. 

Το URWP τονίζει ως τομείς μελλοντικής ευρωπαϊκής πιστοποίησης της ασφάλειας στον κυβερνοχώρο που συνδέονται με τη νομοθεσία της ΕΕ, ιδίως τα πορτοφόλια ταυτότητας και τις διαχειριζόμενες υπηρεσίες ασφάλειας.  Άλλοι τομείς θα μπορούσαν να περιλαμβάνουν συστήματα βιομηχανικού αυτοματισμού και ελέγχου και ανάπτυξη του κύκλου ζωής της ασφάλειας με βάση τις απαιτήσεις των ΟΑΠΙ, καθώς και κρυπτογραφικούς μηχανισμούς.  

Ευρωπαϊκή Ομάδα Πιστοποίησης Κυβερνοασφάλειας 

Η Ευρωπαϊκή Ομάδα Πιστοποίησης Κυβερνοασφάλειας (ECCG) συστάθηκε για να συμβάλει στη διασφάλιση της συνεπούς υλοποίησης και εφαρμογής της πράξης για την ασφάλεια στον κυβερνοχώρο. Αποτελείται από εκπροσώπους των εθνικών αρχών πιστοποίησης της ασφάλειας στον κυβερνοχώρο ή από εκπροσώπους άλλων σχετικών εθνικών αρχών. Η ECCG είναι καθοριστικής σημασίας για την προετοιμασία του συστήματος υποψήφιων πιστοποιητικών και τη γενική εφαρμογή του πλαισίου πιστοποίησης.

Ομάδα πιστοποίησης της ασφάλειας στον κυβερνοχώρο των ενδιαφερόμενων μερών

Μετά την έναρξη ισχύος της πράξης για την ασφάλεια στον κυβερνοχώρο το 2019, συστάθηκε η ομάδα πιστοποίησης της ασφάλειας στον κυβερνοχώρο (SCCG). 

Η SCCG είναι υπεύθυνη για την παροχή συμβουλών στην Επιτροπή και τον ENISA σχετικά με στρατηγικά ζητήματα που αφορούν την πιστοποίηση της κυβερνοασφάλειας και για την παροχή συνδρομής στην Επιτροπή κατά την προετοιμασία του κυλιόμενου προγράμματος εργασίας της Ένωσης. Πρόκειται για την πρώτη ομάδα εμπειρογνωμόνων ενδιαφερόμενων μερών για την πιστοποίηση της κυβερνοασφάλειας που εγκαινιάστηκε από την Ευρωπαϊκή Επιτροπή.

Ακολουθήστε τις εργασίες της ομάδας