Skip to main content
Shaping Europe’s digital future

Okvir EU-a za kibersigurnosnu certifikaciju

Okvirom EU-a za kibersigurnosnu certifikaciju IKT proizvoda omogućuje se stvaranje prilagođenih programa EU-a za certifikaciju koji se temelje na riziku.

    Osoba koja drži tabletu s rukom okrenutom prema gore tako da se zaslon ne prikazuje. Iznad ekrana nalazi se lokot, okružen manjim ikonama koje predstavljaju digitalni svijet.

© iStock by Getty Images -1159281243 Wojtek Skora

Certifikacija ima ključnu ulogu u povećanju povjerenja i sigurnosti u važne proizvode i usluge za digitalni svijet. Trenutačno u EU-u postoji niz različitih programa sigurnosne certifikacije za IKT proizvode. Međutim, bez zajedničkog okvira za valjane kibersigurnosne certifikate na razini EU-a postoji sve veći rizik od rascjepkanosti i prepreka među državama članicama.

Okvirom za certifikaciju osigurat će se programi certificiranja na razini EU-a kao sveobuhvatan skup pravila, tehničkih zahtjeva, normi i postupaka. Okvir će se temeljiti na dogovoru na razini EU-a o procjeni sigurnosnih svojstava određenog proizvoda ili usluge koji se temelje na IKT-u. Potvrdit će da su IKT proizvodi i usluge koji su certificirani u skladu s takvim programom u skladu s određenim zahtjevima.

Konkretno, u svakom europskom sustavu trebalo bi navesti:

  • kategorije obuhvaćenih proizvoda i usluga;
  • kibersigurnosne zahtjeve, kao što su norme ili tehničke specifikacije;
  • vrstu evaluacije, kao što je samoprocjena ili treća strana;
  • predviđenu razinu jamstva.

Razine jamstva upotrebljavaju se za informiranje korisnika o kibersigurnosnom riziku proizvoda i mogu biti osnovne, znatne i/ili visoke. Razmjerne su razini rizika povezanog s predviđenom uporabom proizvoda, usluge ili postupka u smislu vjerojatnosti i učinka nesreće. Visoka razina sigurnosti značila bi da je certificirani proizvod prošao najviše sigurnosne testove.

Dobiveni certifikat priznat će se u svim državama članicama EU-a, čime će se poduzećima olakšati prekogranična trgovina, a kupcima olakšati razumijevanje sigurnosnih obilježja proizvoda ili usluge.

Program kibersigurnosne certifikacije koji se temelji na zajedničkim kriterijima

Prvi program koji će se donijeti u skladu s okvirom za certifikaciju Akta o kibersigurnosti temelji se na poznatim međunarodnim standardnim zajedničkim kriterijima koji se već gotovo 30 godina upotrebljavaju za izdavanje certifikata u Europi. Programom se iskorištava visoka reputacija europskih dobavljača i certifikatora koji se koriste certifikacijom utemeljenom na zajedničkim kriterijima diljem svijeta. 

Program će se primjenjivati na dobrovoljnoj osnovi diljem EU-a i usmjeren je na certificiranje kibersigurnosti IKT proizvoda u njihovu životnom ciklusu: biometrijski sustavi, vatrozid (hardver i softver), platforme za otkrivanje i odgovor, usmjerivači, prekidači, specijalizirani softver (kao što su SIEM i IDS/IDP sustavi), diode podataka, operativni sustavi (uključujući za mobilne uređaje), šifrirane pohrane, baze podataka te pametne kartice i sigurni elementi uključeni u sve vrste proizvoda, primjerice u putovnicama koje svakodnevno upotrebljavaju svi građani. 

Kontinuirani program rada Unije za europsku kibersigurnosnu certifikaciju (URWP)

Aktom EU-a o kibersigurnosti predviđa se da će Komisija objaviti kontinuirani program rada Unije za europsku kibersigurnosnu certifikaciju, dokument u kojem se iznosi strateška vizija i promišljanja o mogućim područjima za buduće europske programe kibersigurnosne certifikacije s obzirom na nedavna zakonodavna i tržišna kretanja. 

Uzimajući u obzir Akt o kiberotpornosti (CRA) i druge zakonodavne promjene, kao što je Uredba o europskom digitalnom identitetu, prvi URWP upućuje na područja za buduće europske programe kibersigurnosne certifikacije povezane sa zakonodavnim promjenama, kao i na područja za buduća promišljanja o kibersigurnosnoj certifikaciji, što bi u konačnici moglo dovesti do zahtjeva za nove programe ako je to potrebno i primjereno. Nadalje, u njemu se navode strateški prioriteti koje treba uzeti u obzir pri pripremi bilo kojeg europskog programa kibersigurnosne certifikacije. 

URWP ističe kao područja za buduću europsku kibersigurnosnu certifikaciju povezanu sa zakonodavstvom EU-a, posebno osobne lisnice i sigurnosne usluge kojima se upravlja.  Druga područja mogu uključivati sustave industrijske automatizacije i kontrole te razvoj sigurnosnog životnog ciklusa na temelju zahtjeva agencija za kreditni rejting te kriptografskih mehanizama.  

Europska skupina za kibersigurnosnu certifikaciju 

Europska skupina za kibersigurnosnu certifikaciju (ECCG) osnovana je kako bi se osigurala dosljedna provedba i primjena Akta o kibersigurnosti. Sastoji se od predstavnika nacionalnih tijela za kibersigurnosnu certifikaciju ili predstavnika drugih relevantnih nacionalnih tijela. ECCG je ključan za pripremu predložene sheme certifikata i opću provedbu certifikacijskog okvira.

Skupina dionika za kibersigurnosnu certifikaciju

Nakon stupanja na snagu Akta o kibersigurnosti 2019. osnovana je Interesna skupina za kibersigurnosnu certifikaciju (SCCG). 

SCCG je odgovoran za savjetovanje Komisije i ENISA-e o strateškim pitanjima u vezi s kibersigurnosnom certifikacijom te za pomoć Komisiji u pripremi tekućeg programa rada Unije. Riječ je o prvoj stručnoj skupini dionika za kibersigurnosnu certifikaciju koju je pokrenula Europska komisija.

Pratite rad Skupine

Najnovije vijesti

Povezani sadržaj

Šira slika

Politike kibersigurnosti

Europska unija radi na različitim područjima na promicanju kiberotpornosti, zaštiti naše komunikacije i podataka te očuvanju sigurnosti internetskog društva i gospodarstva.

Dublji pogled

Pogledajte i sljedeći sadržaj

Akt EU-a o kibersigurnosti

Aktom o kibersigurnosti jača se Agencija EU-a za kibersigurnost (ENISA) i uspostavlja okvir za kibersigurnosnu certifikaciju proizvoda i usluga.