IRT produktų ES kibernetinio saugumo sertifikavimo sistema suteikia galimybę kurti pritaikytas ir rizika grindžiamas ES sertifikavimo schemas.
Sertifikavimas atlieka labai svarbų vaidmenį didinant pasitikėjimą skaitmeniniam pasauliui svarbiais produktais ir paslaugomis ir jų saugumą. Šiuo metu ES taikomos įvairios IRT produktų saugumo sertifikavimo sistemos. Tačiau nesant bendros visoje ES galiojančių kibernetinio saugumo sertifikatų sistemos, didėja susiskaidymo ir kliūčių tarp valstybių narių rizika.
Sertifikavimo sistema užtikrins ES masto sertifikavimo schemas kaip išsamų taisyklių, techninių reikalavimų, standartų ir procedūrų rinkinį. Sistema bus grindžiama ES lygmens susitarimu dėl konkretaus IRT grindžiamo produkto ar paslaugos saugumo savybių vertinimo. Juo patvirtinama, kad pagal tokią schemą sertifikuoti IRT produktai ir paslaugos atitinka nustatytus reikalavimus.
Visų pirma kiekvienoje Europos schemoje turėtų būti nurodyta:
- produktų ir paslaugų, kuriems taikoma ši direktyva, kategorijas;
- kibernetinio saugumo reikalavimus, pavyzdžiui, standartus ar technines specifikacijas;
- vertinimo rūšis, pvz., savęs vertinimas arba trečioji šalis;
- numatomą patikinimo lygį.
Saugumo užtikrinimo lygiai naudojami naudotojams informuoti apie produkto kibernetinio saugumo riziką ir gali būti baziniai, pakankami ir (arba) dideli. Jie yra proporcingi rizikos, susijusios su numatoma gaminio, paslaugos ar proceso paskirtimi, lygiui pagal nelaimingo atsitikimo tikimybę ir poveikį. Aukštas saugumo užtikrinimo lygis reikštų, kad sertifikuotas produktas išlaikė aukščiausius saugumo bandymus.
Gautas sertifikatas bus pripažįstamas visose ES valstybėse narėse, todėl įmonėms bus lengviau prekiauti tarpvalstybiniu mastu, o pirkėjams – suprasti produkto ar paslaugos apsaugos priemones.
Norėdami sužinoti daugiau apie darbą, atliktą ES kibernetinio saugumo sertifikavimo srityje, žr. ENISA kibernetinio saugumo sertifikavimą.
ES kibernetinio saugumo sertifikavimo schema pagal bendruosius kriterijus (EUCC)
Pirmoji schema, kuri turi būti priimta pagal Kibernetinio saugumo akto sertifikavimo sistemą, grindžiama žinomais tarptautiniais standartiniais bendraisiais kriterijais, kurie jau beveik 30 metų naudojami išduodant sertifikatus Europoje. Taikant šią sistemą pasinaudojama aukšta Europos pardavėjų ir sertifikuotojų, visame pasaulyje naudojančių bendrais kriterijais grindžiamą sertifikavimą, reputacija. Šia schema pardavėjai galės naudotis nuo 2025 m. vasario 27 d.
Schema bus taikoma savanoriškai visoje ES ir daugiausia dėmesio bus skiriama IRT produktų kibernetinio saugumo sertifikavimui per jų gyvavimo ciklą: biometrines sistemas, užkardas (tiek aparatinę, tiek programinę įrangą), aptikimo ir reagavimo platformas, maršruto parinktuvus, jungiklius, specializuotą programinę įrangą (pvz., SIEM ir IDS/IDP sistemas), duomenų diodus, operacines sistemas (įskaitant mobiliuosius įrenginius), šifruotas saugyklas, duomenų bazes, lustines korteles ir saugius elementus, įtrauktus į visų rūšių produktus, pvz., visų piliečių kasdien naudojamus pasus.
Daugiau informacijos apie EUCC rasite ENISA sertifikavimo svetainėje.
Tęstinė Sąjungos darbo programa dėl Europos kibernetinio saugumo sertifikavimo (URWP)
ES kibernetinio saugumo akte numatyta, kad Komisija paskelbs tęstinę Sąjungos Europos kibernetinio saugumo sertifikavimo darbo programą – dokumentą, kuriame bus išdėstyta strateginė vizija ir apsvarstytos galimos būsimų Europos kibernetinio saugumo sertifikavimo schemų sritys, atsižvelgiant į naujausius teisėkūros ir rinkos pokyčius.
Atsižvelgiant į Kibernetinio atsparumo aktą (KRA) ir kitus teisės aktų pokyčius, pavyzdžiui, Europos skaitmeninės tapatybės reglamentą, pirmojoje TDP nurodomos būsimų Europos kibernetinio saugumo sertifikavimo schemų sritys, susijusios su teisės aktų pokyčiais, taip pat sritys, kuriose ateityje reikėtų svarstyti kibernetinio saugumo sertifikavimo klausimą, o dėl to prireikus ir kai tinkama gali būti prašoma sukurti naujas schemas. Be to, jame išdėstomi strateginiai prioritetai, į kuriuos reikia atsižvelgti rengiant bet kurią Europos kibernetinio saugumo sertifikavimo schemą.
URWP pabrėžia, kad būsimo Europos kibernetinio saugumo sertifikavimo sritys yra susijusios su ES teisės aktais, visų pirma tapatybės dėklėmis ir valdomomis saugumo paslaugomis. Kitos sritys gali apimti pramonės automatizavimo ir kontrolės sistemas ir saugumo gyvavimo ciklo kūrimą, remiantis KRA reikalavimais, taip pat kriptografiniais mechanizmais.
Europos kibernetinio saugumo sertifikavimo grupė
Europos kibernetinio saugumo sertifikavimo grupė (ECCG) buvo įsteigta siekiant padėti užtikrinti nuoseklų Kibernetinio saugumo akto įgyvendinimą ir taikymą. Ją sudaro nacionalinių kibernetinio saugumo sertifikavimo institucijų atstovai arba kitų atitinkamų nacionalinių institucijų atstovai. EKSSG padeda parengti potencialią sertifikatų sistemą ir bendrai įgyvendinti sertifikavimo sistemą.
Suinteresuotųjų subjektų kibernetinio saugumo sertifikavimo grupė
2019 m. įsigaliojus Kibernetinio saugumo aktui, buvo įsteigta Suinteresuotųjų subjektų kibernetinio saugumo sertifikavimo grupė (SCCG).
SCCG yra atsakinga už Komisijos ir ENISA konsultavimą strateginiais kibernetinio saugumo sertifikavimo klausimais ir pagalbą Komisijai rengiant tęstinę Sąjungos darbo programą. Tai pirmoji Europos Komisijos įsteigta suinteresuotųjų subjektų ekspertų grupė kibernetinio saugumo sertifikavimo klausimais.
Paskutinės naujienos
Daugiau šia tema
Bendras vaizdas
Išsamiau
-
Siekiant padėti užtikrinti nuoseklų Kibernetinio saugumo akto įgyvendinimą ir taikymą, buvo įsteigta Europos kibernetinio saugumo sertifikavimo grupė.