Az IKT-termékek uniós kiberbiztonsági tanúsítási keretrendszere testre szabott és kockázatalapú uniós tanúsítási rendszerek létrehozását teszi lehetővé.
A tanúsítás döntő szerepet játszik a digitális világ számára fontos termékek és szolgáltatások iránti bizalom és biztonság növelésében. Jelenleg az EU-ban számos különböző biztonsági tanúsítási rendszer létezik az IKT-termékekre vonatkozóan. Az egész EU-ra érvényes kiberbiztonsági tanúsítványok közös keretének hiányában azonban egyre nagyobb a tagállamok közötti széttagoltság és akadályok kockázata.
A tanúsítási keretrendszer az egész EU-ra kiterjedő tanúsítási rendszereket fog biztosítani átfogó szabályrendszer, műszaki követelmények, szabványok és eljárások formájában. A keret egy adott IKT-alapú termék vagy szolgáltatás biztonsági tulajdonságainak értékeléséről szóló uniós szintű megállapodáson fog alapulni. Tanúsítani fogja, hogy az ilyen rendszerrel összhangban tanúsított IKT-termékek és -szolgáltatások megfelelnek a meghatározott követelményeknek.
Az egyes európai rendszereknek különösen a következőket kell meghatározniuk:
- az érintett termék- és szolgáltatáskategóriák;
- kiberbiztonsági követelmények, például szabványok vagy műszaki előírások;
- az értékelés típusa, például önértékelés vagy harmadik fél;
- a bizonyosság tervezett szintje.
A biztonsági szintek arra szolgálnak, hogy tájékoztassák a felhasználókat a termék kiberbiztonsági kockázatáról, és lehetnek alapvetőek, jelentősek és/vagy magasak. Ezek arányosak a termék, szolgáltatás vagy folyamat rendeltetésszerű használatához kapcsolódó kockázat szintjével a baleset valószínűsége és hatása tekintetében. A magas biztonsági szint azt jelentené, hogy a tanúsított termék megfelelt a legmagasabb biztonsági teszteken.
Az így kapott tanúsítványt valamennyi uniós tagállamban elismerik, ami megkönnyíti a vállalkozások számára a határokon átnyúló kereskedelmet, a vásárlók számára pedig a termék vagy szolgáltatás biztonsági jellemzőinek megértését.
Ha többet szeretne megtudni az uniós kiberbiztonsági tanúsítással kapcsolatban végzett munkáról, kérjük, olvassa el az ENISA kiberbiztonsági tanúsítását.
A közös kritériumokra vonatkozó uniós kiberbiztonsági tanúsítási rendszer (EUCC)
A kiberbiztonsági jogszabály tanúsítási keretrendszere alapján elfogadandó első rendszer a híres nemzetközi szabványon, a Common Criteria-on alapul, amelyet Európában már közel 30 éve használnak a tanúsítványok kiadására. A rendszer kihasználja az európai szállítók és tanúsítók jó hírnevét, akik a Common Criteria-alapú tanúsítást használják világszerte. A rendszer 2025. február 27-től lesz elérhető az értékesítők számára.
A rendszer az egész EU-ban önkéntes alapon alkalmazandó, és az IKT-termékek kiberbiztonsági tanúsítására összpontosít azok életciklusa során: biometrikus rendszerek, tűzfalak (hardver és szoftver egyaránt), észlelési és reagálási platformok, útválasztók, kapcsolók, speciális szoftverek (például SIEM és IDS/IDP rendszerek), adatdiódák, operációs rendszerek (mobil eszközök esetében is), titkosított tárolók, adatbázisok, valamint intelligens kártyák és biztonságos elemek, amelyek mindenféle termékben megtalálhatók, például a polgárok által naponta használt útlevelekben.
Ha többet szeretne megtudni az EUCC-ről, kérjük, látogasson el az ENISA tanúsítási weboldalára.
Az európai kiberbiztonsági tanúsításra vonatkozó uniós gördülő munkaprogram
Az uniós kiberbiztonsági jogszabály előirányozza, hogy a Bizottság közzétegye az európai kiberbiztonsági tanúsításra vonatkozó uniós gördülő munkaprogramot, amely stratégiai jövőképet és a jövőbeli európai kiberbiztonsági tanúsítási rendszerek lehetséges területeire vonatkozó megfontolásokat határoz meg, figyelembe véve a közelmúltbeli jogalkotási és piaci fejleményeket.
Figyelembe véve a kiberrezilienciáról szóló jogszabályt és más jogalkotási fejleményeket, például az európai digitális személyazonosságról szóló rendeletet, az első uniós kiberbiztonsági munkaprogram rámutat a jövőbeli európai kiberbiztonsági tanúsítási rendszerek jogalkotási fejleményekhez kapcsolódó területeire, valamint a kiberbiztonsági tanúsítással kapcsolatos jövőbeli gondolkodási területekre, amelyek adott esetben új rendszerek iránti kérelmekhez vezethetnek, amennyiben ez szükséges és helyénvaló. Felvázolja továbbá az európai kiberbiztonsági tanúsítási rendszerek előkészítése során figyelembe veendő stratégiai prioritásokat.
Az uniós kiberbiztonsági munkacsoport hangsúlyozza, hogy az uniós jogszabályokhoz kapcsolódó jövőbeli európai kiberbiztonsági tanúsítási területek különösen a személyiadat-tárcák és az irányított biztonsági szolgáltatások. Az egyéb területek közé tartozhatnak az ipari automatizálási és ellenőrzési rendszerek és a biztonsági életciklus fejlesztése a hitelminősítő intézetek követelményeire, valamint a kriptográfiai mechanizmusokra építve.
Európai kiberbiztonsági tanúsítási csoport
Az Európai Kiberbiztonsági Tanúsítási Csoport (ECCG) azzal a céllal jött létre, hogy segítse a kiberbiztonsági jogszabály következetes végrehajtását és alkalmazását. A bizottság a nemzeti kiberbiztonsági tanúsító hatóságok képviselőiből vagy más érintett nemzeti hatóságok képviselőiből áll. Az ECCG fontos szerepet játszik a javasolt tanúsítási rendszer előkészítésében és a tanúsítási keretrendszer általános megvalósításában.
Az érdekelt felek kiberbiztonsági tanúsítási csoportja
A kiberbiztonsági jogszabály 2019. évi hatálybalépését követően létrejött az érdekelt felek kiberbiztonsági tanúsítási csoportja (SCCG).
Az SCCG feladata, hogy tanácsot adjon a Bizottságnak és az ENISA-nak a kiberbiztonsági tanúsítással kapcsolatos stratégiai kérdésekben, és segítse a Bizottságot az uniós gördülő munkaprogram előkészítésében. Ez az érdekelt felek első kiberbiztonsági tanúsítással foglalkozó szakértői csoportja, amelyet az Európai Bizottság hozott létre.
Legfrissebb hírek
Kapcsolódó tartalom
Összkép
Mélyedjen el alaposabban a témában
-
Az európai kiberbiztonsági tanúsítási csoportot azzal a céllal hozták létre, hogy segítse a kiberbiztonsági jogszabály következetes végrehajtását és alkalmazását.