Sertifitseerimisel on oluline roll digimaailma jaoks oluliste toodete ja teenuste usalduse ja turvalisuse suurendamisel. Praegu on ELis olemas mitu IKT-toodete turvalisuse sertifitseerimise kava. Kuid ilma kogu ELi hõlmavate kehtivate küberturvalisuse sertifikaatide ühise raamistikuta on liikmesriikide vahel üha suurem killustumise ja tõkete oht.
Sertifitseerimisraamistikuga nähakse ette kogu ELi hõlmavad sertifitseerimissüsteemid kui terviklik eeskirjade, tehniliste nõuete, standardite ja menetluste kogum. Raamistiku aluseks on ELi tasandi kokkulepe konkreetse IKT-põhise toote või teenuse turvaomaduste hindamise kohta. Ta tõendab, et sellise süsteemi kohaselt sertifitseeritud IKT tooted ja teenused vastavad kindlaksmääratud nõuetele.
Eelkõige tuleks igas Euroopa kavas täpsustada:
- hõlmatud toodete ja teenuste kategooriad;
- küberturvalisuse nõuded, näiteks standardid või tehnilised kirjeldused;
- hindamise liik, näiteks enesehindamine või kolmas isik;
- kavandatud kindluse tase.
Usaldusväärsuse tasemeid kasutatakse kasutajate teavitamiseks toote küberturvalisuse riskist ning need võivad olla põhilised, märkimisväärsed ja/või kõrged. Need on vastavuses toote, teenuse või protsessi kavandatud kasutamisega seotud riskitasemega, pidades silmas õnnetuse tõenäosust ja mõju. Kõrge usaldusväärsuse tase tähendaks, et sertifitseeritud toode läbis kõrgeimad turvatestid.
Saadud sertifikaati tunnustatakse kõigis ELi liikmesriikides, mistõttu on ettevõtjatel lihtsam piiriüleselt kaubelda ja ostjatel on lihtsam mõista toote või teenuse turvaelemente.
Ühistel kriteeriumidel põhinev küberturvalisuse sertifitseerimise süsteem
Esimene kava, mis võetakse vastu küberturvalisuse õigusakti sertifitseerimisraamistiku alusel, põhineb rahvusvahelisel standardil „Ühtsed kriteeriumid“, mida kasutatakse sertifikaatide väljaandmiseks Euroopas juba peaaegu 30 aastat. Kavas kasutatakse ära Euroopa tarnijate ja sertifitseerijate kõrget mainet, kes kasutavad kogu maailmas ühistel kriteeriumidel põhinevat sertifitseerimist.
Kava kohaldatakse vabatahtlikkuse alusel kogu ELis ja selles keskendutakse IKT-toodete küberturvalisuse sertifitseerimisele nende olelusringi jooksul: biomeetrilised süsteemid, tulemüürid (nii riist- kui ka tarkvara), tuvastamis- ja reageerimisplatvormid, ruuterid, lülitid, eritarkvara (nagu SIEM ja IDS/IDP süsteemid), andmedioodid, operatsioonisüsteemid (sh mobiilseadmete jaoks), krüpteeritud salvestusruumid, andmebaasid ja kiipkaardid ning turvaelemendid, mis sisalduvad igat liiki toodetes, näiteks kõigi kodanike poolt igapäevaselt kasutatavates passides.
Euroopa küberturvalisuse sertifitseerimise liidu tööprogramm (URWP)
ELi küberturvalisust käsitlevas õigusaktis nähakse ette, et komisjon avaldab Euroopa küberturvalisuse sertifitseerimise liidu jooksva tööprogrammi, milles esitatakse strateegiline visioon ja mõttevahetused tulevaste Euroopa küberturvalisuse sertifitseerimise kavade võimalike valdkondade kohta, võttes arvesse hiljutisi seadusandlikke ja turusuundumusi.
Võttes arvesse kübervastupidavusvõimet käsitlevat õigusakti ja muid seadusandlikke arenguid, nagu Euroopa digiidentiteedi määrus, osutab esimene URWP tulevastele Euroopa küberturvalisuse sertifitseerimise kavade valdkondadele, mis on seotud seadusandlike arengutega, ning valdkondadele, mida tuleb tulevikus arutada küberturvalisuse sertifitseerimise üle, mis võib lõpuks viia taotlusteni uute kavade järele, kui see on vajalik ja asjakohane. Lisaks esitatakse selles strateegilised prioriteedid, mida tuleb Euroopa küberturvalisuse sertifitseerimise kava ettevalmistamisel arvesse võtta.
URWP rõhutab tulevase Euroopa küberturvalisuse sertifitseerimise valdkondadena, mis on seotud ELi õigusaktidega, eelkõige ID-rahakotid ja hallatavad turvateenused. Muud valdkonnad võivad hõlmata tööstusautomaatika- ja kontrollisüsteeme ning turvalisuse olelusringi arendamist, tuginedes reitinguagentuuride nõuetele ja krüptograafilistele mehhanismidele.
Euroopa küberturvalisuse sertifitseerimise rühm
Euroopa küberturvalisuse sertifitseerimise rühm (ECCG) loodi selleks, et aidata tagada küberturvalisust käsitleva õigusakti järjepidev rakendamine ja kohaldamine. See koosneb riiklike küberturvalisuse sertifitseerimise asutuste esindajatest või muude asjaomaste riiklike asutuste esindajatest. ECCG on oluline ettevalmistav sertifitseerimissüsteem ja sertifitseerimisraamistiku üldine rakendamine.
Sidusrühmade küberturvalisuse sertifitseerimise rühm
Pärast küberturvalisust käsitleva õigusakti jõustumist 2019. aastal loodi sidusrühmade küberturvalisuse sertifitseerimise rühm.
SCCG ülesanne on nõustada komisjoni ja ENISAt küberturvalisuse sertifitseerimise strateegilistes küsimustes ning abistada komisjoni liidu jooksva tööprogrammi ettevalmistamisel. See on Euroopa Komisjoni loodud esimene küberturvalisuse sertifitseerimise sidusrühmade eksperdirühm.
Viimased uudised
Seotud sisu
Üldpilt
Euroopa Liit töötab mitmel rindel, et edendada kübervastupidavusvõimet, kaitsta meie sidet ja andmeid ning hoida internetiühiskonda ja majandust turvalisena.
Mine süvitsi
Euroopa küberturvalisuse sertifitseerimise rühm loodi selleks, et aidata tagada küberturvalisust käsitleva õigusakti järjepidev rakendamine ja kohaldamine.
Vaata lisaks
ELi kübersolidaarsuse õigusakt parandab küberturvalisuse intsidentideks valmisolekut, avastamist ja neile reageerimist kogu ELis.
Uued ELi küberturvalisuse eeskirjad tagavad turvalisema riist- ja tarkvara.
Euroopa küberturvalisuse võrgustik ja küberturvalisuse pädevuskeskus aitavad ELil säilitada ja arendada küberturvalisuse tehnoloogilist ja tööstuslikku suutlikkust.
Sidusrühmade küberturvalisuse sertifitseerimise rühm loodi selleks, et anda nõu küberturvalisuse sertifitseerimise strateegilistes küsimustes.
Küberturvalisust käsitleva õigusaktiga tugevdatakse ELi küberturvalisuse ametit (ENISA) ning kehtestatakse toodete ja teenuste küberturvalisuse sertifitseerimise raamistik.
Küberturvalisuse direktiiv on kogu ELi hõlmav küberturvalisust käsitlev õigusakt. Sellega nähakse ette õiguslikud meetmed küberturvalisuse üldise taseme tõstmiseks ELis.