Okvir EU-a za kibersigurnosnu certifikaciju

Certifikacija ima ključnu ulogu u povećanju povjerenja i sigurnosti u ključne proizvode i usluge za digitalni svijet. Trenutačno u EU-u postoji niz različitih programa sigurnosne certifikacije za IKT proizvode. Međutim, bez zajedničkog okvira za valjane kibersigurnosne certifikate na razini EU-a postoji sve veći rizik od fragmentacije i prepreka među državama članicama.

Okvir za certifikaciju

Okvirom za certifikaciju osigurat će se programi certificiranja na razini EU-a kao sveobuhvatan skup pravila, tehničkih zahtjeva, normi i postupaka. Okvir će se temeljiti na dogovoru na razini EU-a o procjeni sigurnosnih svojstava određenog proizvoda ili usluge koji se temelje na IKT-u. Njome će se potvrditi da su IKT proizvodi i usluge koji su certificirani u skladu s takvim programom u skladu s utvrđenim zahtjevima.

Konkretno, u svakom europskom programu trebalo bi navesti:

• kategorije obuhvaćenih proizvoda i usluga;
• kibersigurnosne zahtjeve, kao što su norme ili tehničke specifikacije;
• vrsta evaluacije, kao što je samoprocjena ili treća strana;
• Predviđena razina jamstva.

Razine jamstva upotrebljavaju se za obavješćivanje korisnika o kibersigurnosnom riziku proizvoda i mogu biti osnovne, znatne i/ili visoke. Oni su razmjerni razini rizika povezanog s predviđenom uporabom proizvoda, usluge ili postupka u smislu vjerojatnosti i učinka nesreće. Visoka razina sigurnosti značila bi da je certificirani proizvod prošao najviše sigurnosne testove.

Dobivena potvrda

Dobivena potvrda priznat će se u svim državama članicama EU-a, čime će se poduzećima olakšati prekogranična trgovina, a kupcima razumijevanje sigurnosnih obilježja proizvoda ili usluge.

Više informacija o obavljenom radu na kibersigurnosnoj certifikaciji EU-a potražite u ENISA-inoj kibersigurnosnoj certifikaciji.

Prvi program EU-a za kibersigurnosnu certifikaciju na temelju zajedničkih kriterija (EUCC)

Prvi program koji će se donijeti u skladu s okvirom za certifikaciju iz Akta o kibersigurnosti temelji se na priznatim međunarodnim standardnim zajedničkim kriterijima koji se već gotovo 30 godina upotrebljavaju za izdavanje certifikata u Europi. Programom se iskorištava visok ugled europskih dobavljača i certifikatora koji upotrebljavaju certifikaciju na temelju zajedničkih kriterija u cijelom svijetu. Program će biti dostupan dobavljačima od 27. veljače 2025.

Program će se primjenjivati u cijelom EU-u na dobrovoljnoj osnovi i usmjeren je na certificiranje kibersigurnosti IKT proizvoda u njihovu životnom ciklusu, uključujući:

• Biometrijski sustavi
• Vatrozidi (hardverski i softverski)
• Platforme za otkrivanje i odgovor
• Usmjerivači
• Prekidači
• Specijalizirani softver (kao što su SIEM i IDS/IDP sustavi)
• Diode podataka
• Operativni sustavi (uključujući za mobilne uređaje)
• Šifrirana skladišta
• Baze podataka
• Pametne kartice i sigurni elementi uključeni u sve vrste proizvoda, kao što su putovnice koje svakodnevno koriste svi građani. 

Više informacija o EUCC-u dostupno je na internetskim stranicama ENISA-e o certifikaciji.

Obnovljeni europski okvir za kibersigurnosnu certifikaciju

Komisija je 20. siječnja 2026. predložila revidirani Akt o kibersigurnosti kojim se obnavlja Europski okvir za kibersigurnosnu certifikaciju (ECCF). Prijedlogom će se osigurati učinkovitije ispitivanje sigurnosti proizvoda i usluga koji dolaze do potrošača u EU-u. Novim ECCF-om osigurat će se veća jasnoća i jednostavniji postupci za razvoj programa u roku od 12 mjeseci. Uvest će se i fleksibilnije i transparentnije upravljanje kako bi se putem javnog informiranja i savjetovanja bolje uključili dionici.

Programi certificiranja kojima upravlja ENISA postat će praktičan i dobrovoljan alat za poduzeća. Time će se poduzećima omogućiti da dokažu usklađenost sa zakonodavstvom EU-a, čime će se smanjiti opterećenje i troškovi. Građanima, poduzećima i javnim tijelima EU-a osigurat će visoku razinu sigurnosti i povjerenja u složene lance opskrbe IKT-a. 

Kontinuirani program rada Unije za europsku kibersigurnosnu certifikaciju (URWP)

Kontinuirani program rada Unije (URWP) o europskoj kibersigurnosnoj certifikaciji objavljen je istodobno s prvim programom kibersigurnosne certifikacije na razini EU-a (EUCC). U prvom URWP-u navode se strateški prioriteti za buduće europske programe kibersigurnosne certifikacije, uzimajući u obzir nedavna zakonodavna i tržišna kretanja, kao što su Akt o kiberotpornosti i Uredba o europskom digitalnom identitetu. To bi u konačnici moglo dovesti do zahtjeva za nove programe ako je to potrebno i primjereno. Nadalje, u njemu se navode strateški prioriteti koje treba uzeti u obzir pri pripremi bilo kojeg europskog programa kibersigurnosne certifikacije. 

U URWP-u se naglašavaju sljedeća područja za buduću europsku kibersigurnosnu certifikaciju povezanu sa zakonodavstvom EU-a:

• Identifikacijske novčanike
• Upravljane sigurnosne službe
• Industrijski sustavi automatizacije i kontrole
• Razvoj životnog ciklusa sigurnosti na temelju zahtjeva agencija za kreditni rejting
• Kriptografski mehanizmi

Europska skupina za kibersigurnosnu certifikaciju (ECCG)

Europska skupina za kibersigurnosnu certifikaciju (ECCG) osnovana je kako bi se osigurala dosljedna provedba i primjena Akta o kibersigurnosti. Sastoji se od predstavnika nacionalnih tijela za kibersigurnosnu certifikaciju ili predstavnika drugih relevantnih nacionalnih tijela. ECCG je ključan za pripremu prijedloga programa certifikacije i opću provedbu okvira za certifikaciju.

Interesna skupina za kibersigurnosnu certifikaciju (SCCG)

Nakon stupanja na snagu Akta o kibersigurnosti 2019. osnovana je Interesna skupina za kibersigurnosnu certifikaciju (SCCG). 

SCCG je odgovoran za savjetovanje Komisije i ENISA-e o strateškim pitanjima povezanima s kibersigurnosnom certifikacijom te za pomaganje Komisiji u pripremi tekućeg programa rada Unije (URWP). To je prva stručna skupina dionika za kibersigurnosnu certifikaciju koju je pokrenula Europska komisija.

Pratite rad Skupine