ES kibernetinio saugumo sertifikavimo sistema

Sertifikavimas atlieka labai svarbų vaidmenį didinant pasitikėjimą ir saugumą skaitmeniniam pasauliui svarbiais produktais ir paslaugomis. Šiuo metu ES veikia kelios skirtingos IRT produktų saugumo sertifikavimo sistemos. Tačiau nesant bendros visoje ES galiojančių kibernetinio saugumo sertifikatų sistemos didėja susiskaidymo ir kliūčių tarp valstybių narių rizika.

Sertifikavimo sistemoje bus pateiktos visos ES sertifikavimo sistemos kaip išsamus taisyklių, techninių reikalavimų, standartų ir procedūrų rinkinys. Sistema bus grindžiama ES lygmens susitarimu dėl konkretaus IRT pagrįsto produkto ar paslaugos saugumo savybių vertinimo. Ji patvirtins, kad pagal tokią schemą sertifikuoti IRT produktai ir paslaugos atitinka nustatytus reikalavimus.

Visų pirma kiekvienoje Europos schemoje turėtų būti nurodyta:

• produktų ir paslaugų, kurioms taikomas šis reglamentas, kategorijas;
• kibernetinio saugumo reikalavimus, pavyzdžiui, standartus ar technines specifikacijas;
• vertinimo rūšis, pvz., įsivertinimas arba trečioji šalis;
• numatomas patikinimo lygis.

Saugumo užtikrinimo lygiai naudojami informuoti naudotojus apie gaminio kibernetinio saugumo riziką ir gali būti pagrindiniai, dideli ir (arba) aukšti. Jie yra proporcingi rizikos, susijusios su numatoma gaminio, paslaugos ar proceso paskirtimi, lygiui, atsižvelgiant į avarijos tikimybę ir poveikį. Aukštas saugumo užtikrinimo lygis reikštų, kad sertifikuotas produktas atitinka aukščiausius saugumo testus.

Gautas sertifikatas bus pripažintas visose ES valstybėse narėse, todėl įmonėms bus lengviau vykdyti tarpvalstybinę prekybą, o pirkėjams bus lengviau suprasti produkto ar paslaugos saugumo požymius.

Bendra kriterijais pagrįsta kibernetinio saugumo sertifikavimo schema

Pirmoji schema, kuri turi būti priimta pagal Kibernetinio saugumo akto sertifikavimo sistemą, grindžiama žinomais tarptautiniais standartais „Bendrieji kriterijai“, kurie jau beveik 30 metų naudojami sertifikatams Europoje išduoti. Taikant šią schemą pasinaudojama aukšta Europos pardavėjų ir sertifikuotojų, kurie visame pasaulyje naudojasi bendrais kriterijais grindžiamu sertifikavimu, reputacija. 

Schema bus taikoma savanorišku pagrindu visoje ES ir daugiausia dėmesio bus skiriama IRT produktų kibernetinio saugumo per jų gyvavimo ciklą sertifikavimui: biometrinės sistemos, užkardos (aparatinė ir programinė įranga), aptikimo ir reagavimo platformos, maršrutizatoriai, jungikliai, specializuota programinė įranga (pvz., SIEM ir IDS/IDP sistemos), duomenų diodai, operacinės sistemos (įskaitant mobiliuosius įrenginius), užšifruotos saugyklos, duomenų bazės, taip pat lustinės kortelės ir saugūs elementai, įtraukti į visų rūšių produktus, pvz., į visų piliečių kasdien naudojamus pasus. 

Sąjungos tęstinė Europos kibernetinio saugumo sertifikavimo darbo programa (URWP)

ES kibernetinio saugumo akte numatyta, kad Komisija paskelbs Sąjungos tęstinę Europos kibernetinio saugumo sertifikavimo darbo programą – dokumentą, kuriame išdėstyta strateginė vizija ir apsvarstytos galimos būsimų Europos kibernetinio saugumo sertifikavimo schemų sritys, atsižvelgiant į naujausius teisės aktų ir rinkos pokyčius. 

Atsižvelgiant į Kibernetinio atsparumo aktą (KRA) ir kitus teisės aktų pokyčius, pavyzdžiui, Europos skaitmeninės tapatybės reglamentą, pirmojoje URWP nurodytos būsimų Europos kibernetinio saugumo sertifikavimo schemų sritys, susijusios su teisės aktų pokyčiais, taip pat sritys, kuriose ateityje reikėtų apsvarstyti kibernetinio saugumo sertifikavimo klausimus, dėl kurių prireikus ir tikslinga gali būti prašoma taikyti naujas schemas. Be to, jame išdėstyti strateginiai prioritetai, į kuriuos reikia atsižvelgti rengiant bet kurią Europos kibernetinio saugumo sertifikavimo schemą. 

URWP pabrėžia būsimo Europos kibernetinio saugumo sertifikavimo, susijusio su ES teisės aktais, visų pirma ID piniginėmis ir valdomomis saugumo paslaugomis, sritis.  Kitos sritys gali apimti pramonės automatizavimo ir kontrolės sistemas ir saugumo gyvavimo ciklo plėtojimą remiantis KRA reikalavimais ir kriptografiniais mechanizmais.  

Europos kibernetinio saugumo sertifikavimo grupė 

Europos kibernetinio saugumo sertifikavimo grupė (ECCG) buvo įsteigta siekiant padėti užtikrinti nuoseklų Kibernetinio saugumo akto įgyvendinimą ir taikymą. Jį sudaro nacionalinių kibernetinio saugumo sertifikavimo institucijų atstovai arba kitų atitinkamų nacionalinių institucijų atstovai. ECCG padeda parengti potencialių sertifikatų sistemą ir bendrai įgyvendinti sertifikavimo sistemą.

Suinteresuotųjų subjektų kibernetinio saugumo sertifikavimo grupė

2019 m. įsigaliojus Kibernetinio saugumo aktui, buvo įsteigta suinteresuotųjų subjektų kibernetinio saugumo sertifikavimo grupė (SCCG). 

SCCG yra atsakinga už Komisijos ir ENISA konsultavimą strateginiais kibernetinio saugumo sertifikavimo klausimais ir pagalbą Komisijai rengiant tęstinę Sąjungos darbo programą. Tai pirmoji suinteresuotųjų šalių kibernetinio saugumo sertifikavimo ekspertų grupė, kurią įsteigė Europos Komisija.

Sekite grupės darbą