ES kiberdrošības sertifikācijas satvars

Sertifikācijai ir izšķiroša nozīme, lai palielinātu uzticēšanos digitālajai pasaulei kritiski svarīgiem produktiem un pakalpojumiem un to drošību. Pašlaik ES pastāv vairākas dažādas IKT produktu drošības sertifikācijas shēmas. Tomēr, ja nav vienota satvara ES mēroga derīgiem kiberdrošības sertifikātiem, palielinās sadrumstalotības un šķēršļu risks starp dalībvalstīm.

Sertifikācijas satvars

Sertifikācijas satvars nodrošinās ES mēroga sertifikācijas shēmas kā visaptverošu noteikumu, tehnisko prasību, standartu un procedūru kopumu. Satvara pamatā būs ES līmeņa vienošanās par konkrēta IKT produkta vai pakalpojuma drošības īpašību novērtējumu. Tas apliecinās, ka IKT produkti un pakalpojumi, kas ir sertificēti saskaņā ar šādu shēmu, atbilst noteiktajām prasībām.

Jo īpaši katrā Eiropas shēmā būtu jānorāda:

• aptverto produktu un pakalpojumu kategorijas;
• kiberdrošības prasības, piemēram, standarti vai tehniskās specifikācijas;
• novērtējuma veids, piemēram, pašnovērtējums vai trešā persona;
• Paredzētais pārliecības līmenis.

Apliecinājuma līmeņus izmanto, lai informētu lietotājus par produkta kiberdrošības risku, un tie var būt pamata, būtiski un/vai augsti. Tie ir samērīgi ar riska līmeni, kas saistīts ar produkta, pakalpojuma vai procesa paredzēto lietojumu nelaimes gadījuma varbūtības un ietekmes ziņā. Augsts garantijas līmenis nozīmētu, ka sertificētais produkts ir izturējis visaugstākos drošības testus.

Iegūtais sertifikāts

Iegūtais sertifikāts tiks atzīts visās ES dalībvalstīs, atvieglojot uzņēmumiem pārrobežu tirdzniecību un pircējiem izpratni par produkta vai pakalpojuma drošības elementiem.

Lai uzzinātu vairāk par darbu, kas paveikts saistībā ar ES kibersertifikāciju, skatiet ENISA kiberdrošības sertifikāciju.

Pirmā ES kiberdrošības sertifikācijas shēma attiecībā uz vienotiem kritērijiem (EUCC)

Pirmā shēma, kas jāpieņem saskaņā ar Kiberdrošības akta sertifikācijas satvaru, ir balstīta uz atzīto starptautisko standartu “Vienotie kritēriji”, ko Eiropā jau gandrīz 30 gadus izmanto sertifikātu izdošanai. Shēma izmanto priekšrocības, ko sniedz to Eiropas piegādātāju un sertificētāju augstā reputācija, kuri izmanto uz kopējiem kritērijiem balstītu sertifikāciju visā pasaulē. Shēma pārdevējiem būs pieejama no 2025. gada 27. februāra.

Shēma tiks piemērota visā ES, pamatojoties uz brīvprātības principu, un tā būs vērsta uz IKT produktu kiberdrošības sertificēšanu to dzīves ciklā, tostarp:

• Biometriskās sistēmas
• Ugunsmūri (gan aparatūra, gan programmatūra)
• Atklāšanas un reaģēšanas platformas
• Maršrutētāji
• Slēdži
• Specializēta programmatūra (piemēram, SIEM un IDS/IDP sistēmas)
• Datu diodes
• Operētājsistēmas (tostarp mobilajām ierīcēm)
• Šifrētas krātuves
• Datubāzes
• Viedkartes un droši elementi, kas iekļauti visu veidu produktos, piemēram, pasēs, ko ikdienā izmanto visi iedzīvotāji. 

Lai uzzinātu vairāk par EUCC, apmeklējiet ENISA sertifikācijas tīmekļa vietni.

Atjaunināts Eiropas kiberdrošības sertifikācijas satvars

Komisija 2026. gada 20. janvārī ierosināja pārskatītu Kiberdrošības aktu, ar ko atjauno Eiropas kiberdrošības sertifikācijas satvaru (ECCF). Priekšlikums nodrošinās, ka produkti un pakalpojumi, kas nonāk pie ES patērētājiem, tiek efektīvāk pārbaudīti attiecībā uz drošību. Jaunā ECCF nodrošinās lielāku skaidrību un vienkāršākas procedūras shēmu izstrādei 12 mēnešu laikā pēc noklusējuma. Tā arī ieviesīs dinamiskāku un pārredzamāku pārvaldību, lai labāk iesaistītu ieinteresētās personas, izmantojot sabiedrības informēšanu un apspriešanos.

ENISA pārvaldītās sertifikācijas shēmas kļūs par praktisku un brīvprātīgu instrumentu uzņēmumiem. Tie ļaus uzņēmumiem pierādīt atbilstību ES tiesību aktiem, samazinot slogu un izmaksas. ES iedzīvotājiem, uzņēmumiem un publiskajām iestādēm tas nodrošinās augstu drošības līmeni un uzticēšanos sarežģītām IKT piegādes ķēdēm. 

Savienības mainīgā darba programma Eiropas kiberdrošības sertifikācijai (URWP)

Savienības mainīgā darba programma (URWP) par Eiropas kiberdrošības sertifikāciju tika publicēta vienlaikus ar pirmo ES mēroga kiberdrošības sertifikācijas shēmu (EUCC). Pirmajā URWP ir izklāstītas stratēģiskās prioritātes turpmākajām Eiropas kiberdrošības sertifikācijas shēmām, ņemot vērā jaunākās norises likumdošanas un tirgus jomā, piemēram, Kibernoturības aktu (CRA) un Eiropas digitālās identitātes regulu. Tas galu galā varētu radīt pieprasījumus pēc jaunām shēmām, ja tas ir nepieciešams un lietderīgi. Turklāt tajā ir izklāstītas stratēģiskās prioritātes, kas jāņem vērā, sagatavojot jebkuru Eiropas kiberdrošības sertifikācijas shēmu. 

URWP uzsver šādas jomas turpmākai Eiropas kiberdrošības sertifikācijai, kas saistīta ar ES tiesību aktiem:

• ID Maki
• Pārvaldīti drošības pakalpojumi
• Industriālās automatizācijas un vadības sistēmas
• Drošības dzīves cikla izstrāde, pamatojoties uz KRA prasībām
• Kriptogrāfijas mehānismi

Eiropas Kiberdrošības sertifikācijas grupa (ECCG)

Eiropas Kiberdrošības sertifikācijas grupa (ECCG) tika izveidota, lai palīdzētu nodrošināt Kiberdrošības akta konsekventu īstenošanu un piemērošanu. Tās sastāvā ir valstu kiberdrošības sertifikācijas iestāžu pārstāvji vai citu attiecīgo valsts iestāžu pārstāvji. ECCG ir būtiska nozīme kandidātsertifikātu shēmas sagatavošanā un sertifikācijas satvara vispārējā īstenošanā.

Ieinteresēto personu kiberdrošības sertifikācijas grupa (SCCG)

Pēc Kiberdrošības akta stāšanās spēkā 2019. gadā tika izveidota Ieinteresēto personu kiberdrošības sertifikācijas grupa (SCCG). 

SCCG ir atbildīga par Komisijas un ENISA konsultēšanu stratēģiskos jautājumos, kas saistīti ar kiberdrošības sertifikāciju, un palīdz Komisijai sagatavot Savienības mainīgo darba programmu (URWP). Šī ir pirmā ieinteresēto personu ekspertu grupa kiberdrošības sertifikācijas jautājumos, ko izveidojusi Eiropas Komisija.

Sekojiet līdzi grupas darbam