ES kibernetinio saugumo sertifikavimo sistema

Sertifikavimas atlieka labai svarbų vaidmenį didinant pasitikėjimą skaitmeniniam pasauliui itin svarbiais produktais ir paslaugomis ir jų saugumą. Šiuo metu ES taikomos įvairios IRT produktų saugumo sertifikavimo schemos. Tačiau, nesant bendros visoje ES galiojančių kibernetinio saugumo sertifikatų sistemos, didėja susiskaidymo ir kliūčių tarp valstybių narių rizika.

Sertifikavimo sistema

Sertifikavimo sistema suteiks ES masto sertifikavimo sistemas kaip išsamų taisyklių, techninių reikalavimų, standartų ir procedūrų rinkinį. Sistema bus grindžiama ES lygmens susitarimu dėl konkretaus IRT grindžiamo produkto ar paslaugos saugumo savybių vertinimo. Ji patvirtins, kad pagal tokią schemą sertifikuoti IRT produktai ir paslaugos atitinka nustatytus reikalavimus.

Visų pirma kiekvienoje Europos sistemoje turėtų būti nurodyta:

• produktų ir paslaugų, kuriems taikomas šis reglamentas, kategorijos;
• kibernetinio saugumo reikalavimus, pavyzdžiui, standartus ar technines specifikacijas;
• vertinimo rūšis, pvz., įsivertinimas arba trečioji šalis;
• Numatytas patikinimo lygis.

Saugumo užtikrinimo lygiai naudojami siekiant informuoti naudotojus apie produkto kibernetinio saugumo riziką ir gali būti baziniai, esminiai ir (arba) aukšti. Jie atitinka rizikos lygį, susijusį su numatomu gaminio, paslaugos ar proceso naudojimu, atsižvelgiant į avarijos tikimybę ir poveikį. Aukštas saugumo užtikrinimo lygis reikštų, kad sertifikuotas produktas išlaikė aukščiausius saugumo bandymus.

Gautas sertifikatas

Gautas sertifikatas bus pripažįstamas visose ES valstybėse narėse, todėl įmonėms bus lengviau prekiauti tarpvalstybiniu mastu, o pirkėjams – suprasti produkto ar paslaugos saugumo savybes.

Norėdami sužinoti daugiau apie darbą, atliktą ES kibernetinio saugumo sertifikavimo srityje, žr. ENISA kibernetinio saugumo sertifikavimą.

Pirmoji ES kibernetinio saugumo sertifikavimo pagal bendruosius kriterijus schema (EUCC)

Pirmoji schema, kuri turi būti priimta pagal Kibernetinio saugumo akto sertifikavimo sistemą, yra pagrįsta gerai žinomu tarptautiniu standartu „Bendrieji kriterijai“, kuris jau beveik 30 metų naudojamas sertifikatams išduoti Europoje. Schema pasinaudojama aukšta Europos pardavėjų ir sertifikuotojų, naudojančių bendraisiais kriterijais grindžiamą sertifikavimą visame pasaulyje, reputacija. Nuo 2025 m. vasario 27 d. šia schema galės naudotis pardavėjai.

Schema bus taikoma visoje ES savanoriškai ir joje daugiausia dėmesio bus skiriama IRT produktų kibernetinio saugumo sertifikavimui per jų gyvavimo ciklą, įskaitant:

• Biometrinės sistemos
• Ugniasienės (techninė ir programinė įranga)
• Aptikimo ir reagavimo platformos
• Maršrutizatoriai
• Jungikliai
• Specializuota programinė įranga (pvz., SIEM ir IDS/IDP sistemos)
• Duomenų diodai
• Operacinės sistemos (įskaitant mobiliuosius įrenginius)
• Šifruotos saugyklos
• Duomenų bazės
• Išmaniosios kortelės ir saugūs elementai, įtraukti į visų rūšių produktus, pvz., pasus, kuriuos kasdien naudoja visi piliečiai. 

Daugiau informacijos apie EKSSS pateikiama ENISA sertifikavimo svetainėje.

Atnaujinta Europos kibernetinio saugumo sertifikavimo sistema

2026 m. sausio 20 d. Komisija pasiūlė peržiūrėtą Kibernetinio saugumo aktą, kuriuo atnaujinama Europos kibernetinio saugumo sertifikavimo sistema (ECCF). Pasiūlymu bus užtikrinta, kad ES vartotojus pasiekiantys produktai ir paslaugos būtų veiksmingiau tikrinami saugumo požiūriu. Naujuoju ECCF bus užtikrintas didesnis aiškumas ir paprastesnės schemų kūrimo procedūros per numatytą 12 mėnesių laikotarpį. Ji taip pat užtikrins lankstesnį ir skaidresnį valdymą, kad būtų galima geriau įtraukti suinteresuotuosius subjektus teikiant viešą informaciją ir konsultuojantis.

ENISA valdomos sertifikavimo schemos taps praktine savanoriška priemone įmonėms. Jos leis įmonėms įrodyti, kad jos laikosi ES teisės aktų, taip sumažinant naštą ir išlaidas. ES piliečiams, įmonėms ir valdžios institucijoms ji užtikrins aukšto lygio saugumą ir pasitikėjimą sudėtingomis IRT tiekimo grandinėmis. 

Tęstinė Sąjungos Europos kibernetinio saugumo sertifikavimo darbo programa

Tęstinė Sąjungos darbo programa dėl Europos kibernetinio saugumo sertifikavimo buvo paskelbta tuo pačiu metu kaip ir pirmoji ES masto kibernetinio saugumo sertifikavimo schema (EUCC). Pirmojoje URWP išdėstomi strateginiai būsimų Europos kibernetinio saugumo sertifikavimo schemų prioritetai, atsižvelgiant į naujausius teisėkūros ir rinkos pokyčius, pavyzdžiui, Kibernetinio atsparumo aktą (KRA) ir Europos skaitmeninės tapatybės reglamentą. Dėl to prireikus ir tinkamais atvejais gali būti teikiami prašymai dėl naujų schemų. Be to, jame išdėstyti strateginiai prioritetai, į kuriuos reikia atsižvelgti rengiant bet kokią Europos kibernetinio saugumo sertifikavimo schemą. 

URWP pabrėžia šias būsimo Europos kibernetinio saugumo sertifikavimo sritis, susijusias su ES teisės aktais:

• ID piniginės
• Tvarkomos apsaugos paslaugos
• Pramonės automatikos ir valdymo sistemos
• Saugumo gyvavimo ciklo plėtojimas remiantis KRA reikalavimais
• Kriptografiniai mechanizmai

Europos kibernetinio saugumo sertifikavimo grupė (ECCG)

Europos kibernetinio saugumo sertifikavimo grupė (ECCG) buvo įsteigta siekiant padėti užtikrinti nuoseklų Kibernetinio saugumo akto įgyvendinimą ir taikymą. Ją sudaro nacionalinių kibernetinio saugumo sertifikavimo institucijų atstovai arba kitų atitinkamų nacionalinių institucijų atstovai. ECCG padeda rengti potencialią sertifikatų sistemą ir bendrai įgyvendinti sertifikavimo sistemą.

Suinteresuotųjų šalių kibernetinio saugumo sertifikavimo grupė (SCCG)

2019 m. įsigaliojus Kibernetinio saugumo aktui, buvo įsteigta Suinteresuotųjų subjektų kibernetinio saugumo sertifikavimo grupė (SCCG). 

SCCG yra atsakinga už Komisijos ir ENISA konsultavimą strateginiais klausimais, susijusiais su kibernetinio saugumo sertifikavimu, ir pagalbą Komisijai rengiant tęstinę Sąjungos darbo programą. Tai pirmoji Europos Komisijos įsteigta kibernetinio saugumo sertifikavimo suinteresuotųjų subjektų ekspertų grupė.

Sekite grupės darbą