Το πλαίσιο πιστοποίησης της ασφάλειας στον κυβερνοχώρο της ΕΕ

Η πιστοποίηση διαδραματίζει καίριο ρόλο στην αύξηση της εμπιστοσύνης και της ασφάλειας σε κρίσιμα προϊόντα και υπηρεσίες για τον ψηφιακό κόσμο. Επί του παρόντος, στην ΕΕ υπάρχουν διάφορα συστήματα πιστοποίησης της ασφάλειας για τα προϊόντα ΤΠΕ. Ωστόσο, χωρίς κοινό πλαίσιο για έγκυρα πιστοποιητικά κυβερνοασφάλειας σε επίπεδο ΕΕ, υπάρχει αυξανόμενος κίνδυνος κατακερματισμού και εμποδίων μεταξύ των κρατών μελών.

Το πλαίσιο πιστοποίησης

Το πλαίσιο πιστοποίησης θα παρέχει συστήματα πιστοποίησης σε επίπεδο ΕΕ ως ολοκληρωμένο σύνολο κανόνων, τεχνικών απαιτήσεων, προτύπων και διαδικασιών. Το πλαίσιο θα βασίζεται σε συμφωνία σε επίπεδο ΕΕ σχετικά με την αξιολόγηση των ιδιοτήτων ασφαλείας ενός συγκεκριμένου προϊόντος ή υπηρεσίας που βασίζεται στις ΤΠΕ. Βεβαιώνει ότι τα προϊόντα και οι υπηρεσίες ΤΠΕ που έχουν πιστοποιηθεί σύμφωνα με ένα τέτοιο σύστημα συμμορφώνονται με συγκεκριμένες απαιτήσεις.

Ειδικότερα, κάθε ευρωπαϊκό σύστημα θα πρέπει να προσδιορίζει:

• Τις κατηγορίες προϊόντων και υπηρεσιών που καλύπτονται·
• Τις απαιτήσεις κυβερνοασφάλειας, όπως πρότυπα ή τεχνικές προδιαγραφές·
• Το είδος της αξιολόγησης, όπως αυτοαξιολόγηση ή τρίτο μέρος·
• Το επιδιωκόμενο επίπεδο διασφάλισης.

Τα επίπεδα διασφάλισης χρησιμοποιούνται για την ενημέρωση των χρηστών σχετικά με τον κίνδυνο κυβερνοασφάλειας ενός προϊόντος και μπορεί να είναι βασικά, σημαντικά και/ή υψηλά. Είναι ανάλογα με το επίπεδο κινδύνου που συνδέεται με την προβλεπόμενη χρήση του προϊόντος, της υπηρεσίας ή της διαδικασίας, όσον αφορά την πιθανότητα και τον αντίκτυπο ενός ατυχήματος. Ένα υψηλό επίπεδο διασφάλισης θα σήμαινε ότι το πιστοποιημένο προϊόν πέρασε τις υψηλότερες δοκιμές ασφαλείας.

Το προκύπτον πιστοποιητικό

Το πιστοποιητικό που προκύπτει θα αναγνωρίζεται σε όλα τα κράτη μέλη της ΕΕ, καθιστώντας ευκολότερο για τις επιχειρήσεις να πραγματοποιούν διασυνοριακές συναλλαγές και για τους αγοραστές να κατανοούν τα χαρακτηριστικά ασφαλείας του προϊόντος ή της υπηρεσίας.

Για να μάθετε περισσότερα σχετικά με τις εργασίες σχετικά με την πιστοποίηση της ΕΕ στον κυβερνοχώρο, συμβουλευτείτε την πιστοποίηση ασφάλειας στον κυβερνοχώρο του ENISA.

Το σύστημα πιστοποίησης της ασφάλειας στον κυβερνοχώρο της ΕΕ για τα κοινά κριτήρια (EUCC)

Το πρώτο σύστημα που θα εγκριθεί βάσει του πλαισίου πιστοποίησης της πράξης για την ασφάλεια στον κυβερνοχώρο βασίζεται στο γνωστό διεθνές πρότυπο κοινών κριτηρίων, το οποίο χρησιμοποιείται για την έκδοση πιστοποιητικών στην Ευρώπη εδώ και σχεδόν 30 χρόνια. Το σύστημα αξιοποιεί την υψηλή φήμη των Ευρωπαίων πωλητών και πιστοποιητών που χρησιμοποιούν την πιστοποίηση βάσει κοινών κριτηρίων σε ολόκληρο τον κόσμο. Το σύστημα θα αρχίσει να είναι διαθέσιμο για τους πωλητές από τις 27 Φεβρουαρίου 2025.

Το σύστημα θα εφαρμόζεται σε επίπεδο ΕΕ, σε εθελοντική βάση, και θα επικεντρώνεται στην πιστοποίηση της κυβερνοασφάλειας των προϊόντων ΤΠΕ κατά τον κύκλο ζωής τους, συμπεριλαμβανομένων:

• Βιομετρικά συστήματα
• Τείχη προστασίας (τόσο υλικό όσο και λογισμικό)
• Πλατφόρμες ανίχνευσης και αντίδρασης
• Δρομολογητές
• Διακόπτες
• Εξειδικευμένο λογισμικό (όπως συστήματα SIEM και IDS/IDP)
• Δίοδοι δεδομένων
• Λειτουργικά συστήματα (συμπεριλαμβανομένων των κινητών συσκευών)
• Κρυπτογραφημένοι αποθηκευτικοί χώροι
• Βάσεις δεδομένων
• Έξυπνες κάρτες και ασφαλή στοιχεία που περιλαμβάνονται σε όλα τα είδη προϊόντων, όπως στα διαβατήρια που χρησιμοποιούνται καθημερινά από όλους τους πολίτες. 

Για περισσότερες πληροφορίες σχετικά με το EUCC, συμβουλευτείτε τον ιστότοπο πιστοποίησης του ENISA.

Το κυλιόμενο πρόγραμμα εργασιών της Ένωσης για την ευρωπαϊκή πιστοποίηση της κυβερνοασφάλειας (URWP)

Το κυλιόμενο πρόγραμμα εργασίας της Ένωσης (URWP) σχετικά με την ευρωπαϊκή πιστοποίηση κυβερνοασφάλειας δημοσιεύθηκε ταυτόχρονα με το πρώτο πανευρωπαϊκό σύστημα πιστοποίησης της κυβερνοασφάλειας (EUCC). Το πρώτο URWP περιγράφει τις στρατηγικές προτεραιότητες για τα μελλοντικά ευρωπαϊκά συστήματα πιστοποίησης της κυβερνοασφάλειας, λαμβάνοντας υπόψη τις πρόσφατες νομοθετικές εξελίξεις και εξελίξεις της αγοράς, όπως η πράξη για την ανθεκτικότητα στον κυβερνοχώρο (CRA) και ο ευρωπαϊκός κανονισμός για την ψηφιακή ταυτότητα. Αυτό θα μπορούσε τελικά να οδηγήσει σε αιτήματα για νέα καθεστώτα, όπου είναι αναγκαίο και σκόπιμο. Επιπλέον, περιγράφει τις στρατηγικές προτεραιότητες που πρέπει να λαμβάνονται υπόψη κατά την προετοιμασία οποιουδήποτε ευρωπαϊκού συστήματος πιστοποίησης της κυβερνοασφάλειας. 

Το URWP τονίζει τους ακόλουθους τομείς για τη μελλοντική ευρωπαϊκή πιστοποίηση της ασφάλειας στον κυβερνοχώρο που συνδέεται με τη νομοθεσία της ΕΕ:

• Πορτοφόλια ταυτότητας
• Διαχειριζόμενες υπηρεσίες ασφάλειας
• Συστήματα Βιομηχανικού Αυτοματισμού και Ελέγχου
• Ανάπτυξη του κύκλου ζωής της ασφάλειας με βάση τις απαιτήσεις των ΟΑΠΙ
• Κρυπτογραφικοί μηχανισμοί

Ευρωπαϊκή Ομάδα Πιστοποίησης Κυβερνοασφάλειας (ECCG)

Η Ευρωπαϊκή Ομάδα Πιστοποίησης Κυβερνοασφάλειας (ECCG) συστάθηκε για να συμβάλει στη διασφάλιση της συνεπούς υλοποίησης και εφαρμογής της πράξης για την ασφάλεια στον κυβερνοχώρο. Αποτελείται από εκπροσώπους των εθνικών αρχών πιστοποίησης της ασφάλειας στον κυβερνοχώρο ή από εκπροσώπους άλλων σχετικών εθνικών αρχών. Η ECCG είναι καθοριστικής σημασίας για την προετοιμασία του συστήματος υποψήφιων πιστοποιητικών και τη γενική εφαρμογή του πλαισίου πιστοποίησης.

Η ομάδα πιστοποίησης της ασφάλειας στον κυβερνοχώρο (SCCG)

Μετά την έναρξη ισχύος της πράξης για την ασφάλεια στον κυβερνοχώρο το 2019, συστάθηκε η ομάδα πιστοποίησης της ασφάλειας στον κυβερνοχώρο (SCCG). 

Η SCCG είναι υπεύθυνη για την παροχή συμβουλών στην Επιτροπή και τον ENISA σχετικά με στρατηγικά ζητήματα που αφορούν την πιστοποίηση της κυβερνοασφάλειας και για την παροχή συνδρομής στην Επιτροπή κατά την προετοιμασία του κυλιόμενου προγράμματος εργασίας της Ένωσης (URWP). Πρόκειται για την πρώτη ομάδα εμπειρογνωμόνων ενδιαφερόμενων μερών για την πιστοποίηση της κυβερνοασφάλειας που εγκαινιάστηκε από την Ευρωπαϊκή Επιτροπή.

Ακολουθήστε τις εργασίες της ομάδας