Okvirom EU-a za kibersigurnosnu certifikaciju IKT proizvoda omogućuje se stvaranje prilagođenih programa EU-a za certifikaciju koji se temelje na riziku.
Certifikacija ima ključnu ulogu u povećanju povjerenja i sigurnosti u važne proizvode i usluge za digitalni svijet. Trenutačno u EU-u postoji niz različitih programa sigurnosne certifikacije za IKT proizvode. Međutim, bez zajedničkog okvira za valjane kibersigurnosne certifikate na razini EU-a postoji sve veći rizik od rascjepkanosti i prepreka među državama članicama.
Okvirom za certifikaciju osigurat će se programi certificiranja na razini EU-a kao sveobuhvatan skup pravila, tehničkih zahtjeva, normi i postupaka. Okvir će se temeljiti na dogovoru na razini EU-a o procjeni sigurnosnih svojstava određenog proizvoda ili usluge koji se temelje na IKT-u. Potvrdit će da su IKT proizvodi i usluge koji su certificirani u skladu s takvim programom u skladu s određenim zahtjevima.
Konkretno, u svakom europskom sustavu trebalo bi navesti:
- kategorije obuhvaćenih proizvoda i usluga;
- kibersigurnosne zahtjeve, kao što su norme ili tehničke specifikacije;
- vrstu evaluacije, kao što je samoprocjena ili treća strana;
- predviđenu razinu jamstva.
Razine jamstva upotrebljavaju se za informiranje korisnika o kibersigurnosnom riziku proizvoda i mogu biti osnovne, znatne i/ili visoke. Razmjerne su razini rizika povezanog s predviđenom uporabom proizvoda, usluge ili postupka u smislu vjerojatnosti i učinka nesreće. Visoka razina sigurnosti značila bi da je certificirani proizvod prošao najviše sigurnosne testove.
Dobiveni certifikat priznat će se u svim državama članicama EU-a, čime će se poduzećima olakšati prekogranična trgovina, a kupcima olakšati razumijevanje sigurnosnih obilježja proizvoda ili usluge.
Program kibersigurnosne certifikacije koji se temelji na zajedničkim kriterijima
Prvi program koji će se donijeti u skladu s okvirom za certifikaciju Akta o kibersigurnosti temelji se na poznatim međunarodnim standardnim zajedničkim kriterijima koji se već gotovo 30 godina upotrebljavaju za izdavanje certifikata u Europi. Programom se iskorištava visoka reputacija europskih dobavljača i certifikatora koji se koriste certifikacijom utemeljenom na zajedničkim kriterijima diljem svijeta.
Program će se primjenjivati na dobrovoljnoj osnovi diljem EU-a i usmjeren je na certificiranje kibersigurnosti IKT proizvoda u njihovu životnom ciklusu: biometrijski sustavi, vatrozid (hardver i softver), platforme za otkrivanje i odgovor, usmjerivači, prekidači, specijalizirani softver (kao što su SIEM i IDS/IDP sustavi), diode podataka, operativni sustavi (uključujući za mobilne uređaje), šifrirane pohrane, baze podataka te pametne kartice i sigurni elementi uključeni u sve vrste proizvoda, primjerice u putovnicama koje svakodnevno upotrebljavaju svi građani.
Kontinuirani program rada Unije za europsku kibersigurnosnu certifikaciju (URWP)
Aktom EU-a o kibersigurnosti predviđa se da će Komisija objaviti kontinuirani program rada Unije za europsku kibersigurnosnu certifikaciju, dokument u kojem se iznosi strateška vizija i promišljanja o mogućim područjima za buduće europske programe kibersigurnosne certifikacije s obzirom na nedavna zakonodavna i tržišna kretanja.
Uzimajući u obzir Akt o kiberotpornosti (CRA) i druge zakonodavne promjene, kao što je Uredba o europskom digitalnom identitetu, prvi URWP upućuje na područja za buduće europske programe kibersigurnosne certifikacije povezane sa zakonodavnim promjenama, kao i na područja za buduća promišljanja o kibersigurnosnoj certifikaciji, što bi u konačnici moglo dovesti do zahtjeva za nove programe ako je to potrebno i primjereno. Nadalje, u njemu se navode strateški prioriteti koje treba uzeti u obzir pri pripremi bilo kojeg europskog programa kibersigurnosne certifikacije.
URWP ističe kao područja za buduću europsku kibersigurnosnu certifikaciju povezanu sa zakonodavstvom EU-a, posebno osobne lisnice i sigurnosne usluge kojima se upravlja. Druga područja mogu uključivati sustave industrijske automatizacije i kontrole te razvoj sigurnosnog životnog ciklusa na temelju zahtjeva agencija za kreditni rejting te kriptografskih mehanizama.
Europska skupina za kibersigurnosnu certifikaciju
Europska skupina za kibersigurnosnu certifikaciju (ECCG) osnovana je kako bi se osigurala dosljedna provedba i primjena Akta o kibersigurnosti. Sastoji se od predstavnika nacionalnih tijela za kibersigurnosnu certifikaciju ili predstavnika drugih relevantnih nacionalnih tijela. ECCG je ključan za pripremu predložene sheme certifikata i opću provedbu certifikacijskog okvira.
Skupina dionika za kibersigurnosnu certifikaciju
Nakon stupanja na snagu Akta o kibersigurnosti 2019. osnovana je Interesna skupina za kibersigurnosnu certifikaciju (SCCG).
SCCG je odgovoran za savjetovanje Komisije i ENISA-e o strateškim pitanjima u vezi s kibersigurnosnom certifikacijom te za pomoć Komisiji u pripremi tekućeg programa rada Unije. Riječ je o prvoj stručnoj skupini dionika za kibersigurnosnu certifikaciju koju je pokrenula Europska komisija.
Najnovije vijesti
Povezani sadržaj
Šira slika
Europska unija radi na različitim područjima na promicanju kiberotpornosti, zaštiti naše komunikacije i podataka te očuvanju sigurnosti internetskog društva i gospodarstva.
Dublji pogled
Europska skupina za kibersigurnosnu certifikaciju osnovana je kako bi se osigurala dosljedna provedba i primjena Akta o kibersigurnosti.
Pogledajte i sljedeći sadržaj
Aktom EU-a o kibernetičkoj solidarnosti poboljšat će se pripravnost, otkrivanje i odgovor na kiberincidente diljem EU-a.
Novim pravilima EU-a o kibersigurnosti osigurava se sigurniji hardver i softver.
Operatori ključnih usluga (OES), nacionalna tijela za kibersigurnosnu certifikaciju (NCCA-i) i nacionalna nadležna tijela za kibersigurnost među odabranim su podnositeljima zahtjeva koji će primiti 11 milijuna EUR financijskih sredstava u okviru poziva za kibersigurnost u okviru...
Europska mreža za kibersigurnost i Centar za stručnost u području kibersigurnosti pomažu EU-u da zadrži i razvije tehnološke i industrijske kapacitete u području kibersigurnosti.
Interesna skupina za kibersigurnosnu certifikaciju osnovana je radi pružanja savjeta o strateškim pitanjima u vezi s kibersigurnosnom certifikacijom.
Aktom o kibersigurnosti jača se Agencija EU-a za kibersigurnost (ENISA) i uspostavlja okvir za kibersigurnosnu certifikaciju proizvoda i usluga.
Direktiva NIS2 zakonodavstvo je o kibersigurnosti na razini EU-a. Njime se osiguravaju pravne mjere za povećanje ukupne razine kibersigurnosti u EU-u.