Okvir EU-a za kibersigurnosnu certifikaciju proizvoda informacijske i komunikacijske tehnologije (IKT) omogućuje prilagođene certifikacijske programe EU-a koji se temelje na riziku.
Certificiranje ima ključnu ulogu u povećanju povjerenja i sigurnosti u ključne proizvode i usluge za digitalni svijet. Trenutačno u EU-u postoji niz različitih programa sigurnosne certifikacije za proizvode IKT-a. Međutim, bez zajedničkog okvira za valjane kibersigurnosne certifikate na razini EU-a postoji sve veći rizik od rascjepkanosti i prepreka među državama članicama.
Okvir za certifikaciju
Okvirom za certifikaciju osigurat će se certifikacijski programi na razini EU-a kao sveobuhvatan skup pravila, tehničkih zahtjeva, normi i postupaka. Okvir će se temeljiti na dogovoru na razini EU-a o evaluaciji sigurnosnih svojstava određenog proizvoda ili usluge koji se temelje na IKT-u. Njome će se potvrditi da su IKT proizvodi i usluge koji su certificirani u skladu s takvim programom u skladu s utvrđenim zahtjevima.
Konkretno, u svakom europskom programu trebalo bi navesti sljedeće:
- obuhvaćene kategorije proizvoda i usluga;
- kibersigurnosne zahtjeve, kao što su norme ili tehničke specifikacije;
- vrsta evaluacije, kao što je samoprocjena ili treća strana;
- Predviđena razina jamstva.
Razine jamstva upotrebljavaju se za informiranje korisnika o kibersigurnosnom riziku proizvoda, a mogu biti osnovne, znatne i/ili visoke. Oni su razmjerni razini rizika povezanog s predviđenom uporabom proizvoda, usluge ili postupka, u smislu vjerojatnosti i učinka nesreće. Visoka razina sigurnosti značila bi da je certificirani proizvod prošao najviše sigurnosne testove.
Dobiveni certifikat
Certifikat koji iz toga proizlazi priznat će se u svim državama članicama EU-a, čime će se poduzećima olakšati prekogranična trgovina, a kupcima razumijevanje sigurnosnih obilježja proizvoda ili usluge.
Više informacija o radu na kibersigurnosnoj certifikaciji EU-a dostupno je u ENISA-inoj kibersigurnosnoj certifikaciji.
Program EU-a za kibersigurnosnu certifikaciju na temelju zajedničkih kriterija (EUCC)
Prvi program koji će se donijeti u okviru Akta o kibersigurnosti temelji se na poznatim međunarodnim standardnim zajedničkim kriterijima, koji se u Europi upotrebljavaju za izdavanje certifikata već gotovo 30 godina. Programom se iskorištava visoka reputacija europskih dobavljača i certifikatora koji upotrebljavaju certifikaciju na temelju zajedničkih kriterija u cijelom svijetu. Program će biti dostupan dobavljačima od 27. veljače 2025.
Program će se primjenjivati na razini EU-a, na dobrovoljnoj osnovi, a usmjeren je na certificiranje kibersigurnosti IKT proizvoda tijekom njihova životnog ciklusa, uključujući:
- Biometrijski sustavi
- Vatrozid (hardver i softver)
- Platforme za otkrivanje i reagiranje
- Usmjerivači
- Prekidači
- Specijalizirani softver (kao što su SIEM i IDS/IDP sustavi)
- Podatkovne diode
- Operativni sustavi (uključujući za mobilne uređaje)
- Šifrirana skladišta
- Baze podataka
- Pametne kartice i sigurni elementi uključeni u sve vrste proizvoda, kao što su putovnice koje svakodnevno koriste svi građani.
Više informacija o EUCC-u dostupno je na internetskim stranicama ENISA-e o certifikaciji.
Kontinuirani program rada Unije za europsku kibersigurnosnu certifikaciju (URWP)
Kontinuirani program rada Unije za europsku kibersigurnosnu certifikaciju objavljen je istodobno s prvim programom kibersigurnosne certifikacije na razini EU-a. U prvom programu rada Unije navode se strateški prioriteti za buduće europske programe kibersigurnosne certifikacije, uzimajući u obzir nedavna zakonodavna i tržišna kretanja, kao što su Akt o kiberotpornosti i Uredba o europskom digitalnom identitetu. To bi u konačnici moglo dovesti do zahtjeva za nove programe ako je to potrebno i primjereno. Nadalje, u njemu se navode strateški prioriteti koje treba uzeti u obzir pri pripremi bilo kojeg europskog programa kibersigurnosne certifikacije.
U programu rada Unije naglašavaju se sljedeća područja za buduću europsku kibersigurnosnu certifikaciju povezanu sa zakonodavstvom EU-a:
- ID novčanici
- Upravljane sigurnosne službe
- Industrijska automatizacija i upravljački sustavi
- Razvoj životnog ciklusa sigurnosti na temelju zahtjeva agencija za kreditni rejting
- Kriptografski mehanizmi
Europska skupina za kibersigurnosnu certifikaciju (ECCG)
Europska skupina za kibersigurnosnu certifikaciju (ECCG) osnovana je kako bi se osigurala dosljedna provedba i primjena Akta o kibersigurnosti. Sastoji se od predstavnika nacionalnih tijela za kibersigurnosnu certifikaciju ili predstavnika drugih relevantnih nacionalnih tijela. ECCG je ključan za pripremu prijedloga programa certifikacije i opću provedbu okvira za certifikaciju.
Interesna skupina za kibersigurnosnu certifikaciju (SCCG)
Nakon stupanja na snagu Akta o kibersigurnosti 2019. osnovana je Interesna skupina za kibersigurnosnu certifikaciju (SCCG).
SCCG je odgovoran za savjetovanje Komisije i ENISA-e o strateškim pitanjima povezanima s kibersigurnosnom certifikacijom te za pomoć Komisiji u pripremi tekućeg programa rada Unije (URWP). To je prva stručna skupina dionika za kibersigurnosnu certifikaciju koju je pokrenula Europska komisija.
Najnovije vijesti
Povezani sadržaj
Šira slika