Sertifikācijai ir izšķiroša nozīme, lai palielinātu uzticēšanos un drošību attiecībā uz digitālajai pasaulei svarīgiem produktiem un pakalpojumiem. Pašlaik ES pastāv vairākas dažādas IKT produktu drošības sertifikācijas shēmas. Taču, ja nav vienota satvara attiecībā uz ES mēroga derīgiem kiberdrošības sertifikātiem, palielinās sadrumstalotības un šķēršļu risks starp dalībvalstīm.
Sertifikācijas sistēma nodrošinās ES mēroga sertifikācijas shēmas kā visaptverošu noteikumu, tehnisko prasību, standartu un procedūru kopumu. Sistēmas pamatā būs ES līmeņa vienošanās par konkrēta uz IKT balstīta produkta vai pakalpojuma drošības īpašību novērtējumu. Tā apliecinās, ka IKT produkti un pakalpojumi, kas sertificēti saskaņā ar šādu shēmu, atbilst noteiktām prasībām.
Jo īpaši katrā Eiropas shēmā būtu jānorāda:
- aptvertās produktu un pakalpojumu kategorijas;
- kiberdrošības prasības, piemēram, standarti vai tehniskās specifikācijas;
- novērtējuma veids, piemēram, pašnovērtējums vai trešā persona;
- paredzētais ticamības līmenis.
Apliecinājuma līmeņus izmanto, lai informētu lietotājus par produkta kiberdrošības risku, un tie var būt pamata, būtiski un/vai augsti. Tās ir samērīgas ar riska līmeni, kas saistīts ar produkta, pakalpojuma vai procesa paredzēto izmantošanu, ņemot vērā nelaimes gadījuma varbūtību un ietekmi. Augsts ticamības līmenis nozīmētu, ka sertificētais produkts ir izturējis visaugstākos drošības testus.
Iegūtais sertifikāts tiks atzīts visās ES dalībvalstīs, atvieglojot uzņēmumu pārrobežu tirdzniecību un pircējiem ļaujot saprast produkta vai pakalpojuma drošības elementus.
Kopēja uz kritērijiem balstīta kiberdrošības sertifikācijas shēma
Pirmā shēma, kas jāpieņem saskaņā ar Kiberdrošības akta sertifikācijas sistēmu, ir balstīta uz atzītajiem starptautiskajiem standartiem “Kopējie kritēriji”, ko izmanto sertifikātu izdošanai Eiropā gandrīz 30 gadus. Shēma izmanto priekšrocības, ko sniedz Eiropas pārdevēju un sertificētāju augstā reputācija, izmantojot uz kopējiem kritērijiem balstītu sertifikāciju visā pasaulē.
Shēmu piemēros brīvprātīgi visā ES, un tā koncentrēsies uz IKT produktu kiberdrošības sertifikāciju to dzīves ciklā: biometriskās sistēmas, ugunsmūri (gan aparatūra, gan programmatūra), atklāšanas un reaģēšanas platformas, maršrutētāji, slēdži, specializēta programmatūra (piemēram, SIEM un IDS/IDP sistēmas), datu diodes, operētājsistēmas (tostarp mobilajām ierīcēm), šifrētas atmiņas, datubāzes, kā arī viedkartes un droši elementi, kas iekļauti visu veidu produktos, piemēram, pasēs, ko ikdienā izmanto visi iedzīvotāji.
Savienības mainīgā darba programma Eiropas kiberdrošības sertifikācijai (URWP)
ES Kiberdrošības aktā ir paredzēts, ka Komisija publicēs Savienības mainīgo darba programmu Eiropas kiberdrošības sertifikācijai — dokumentu, kurā izklāstīts stratēģisks redzējums un pārdomas par iespējamām jomām turpmākajām Eiropas kiberdrošības sertifikācijas shēmām, ņemot vērā jaunākās likumdošanas un tirgus norises.
Ņemot vērā Kibernoturības aktu (CRA) un citas likumdošanas norises, piemēram, Eiropas Digitālās identitātes regulu, pirmajā URWP ir norādīts uz jomām, kurās nākotnē varētu būt vajadzīgas Eiropas kiberdrošības sertifikācijas shēmas, kas saistītas ar likumdošanas norisēm, kā arī uz jomām, kurās nākotnē jāapsver kiberdrošības sertifikācija, kā rezultātā vajadzības un vajadzības gadījumā varētu tikt pieprasītas jaunas shēmas. Turklāt tajā ir izklāstītas stratēģiskās prioritātes, kas jāņem vērā, sagatavojot jebkādu Eiropas kiberdrošības sertifikācijas shēmu.
URWP uzsver, ka turpmākās Eiropas kiberdrošības sertifikācijas jomas ir saistītas ar ES tiesību aktiem, jo īpaši ID makiem un pārvaldītiem drošības pakalpojumiem. Citas jomas varētu būt rūpnieciskās automatizācijas un kontroles sistēmas un drošības dzīves cikla izstrāde, pamatojoties uz kredītreitingu aģentūru prasībām, kā arī kriptogrāfijas mehānismi.
Eiropas Kiberdrošības sertifikācijas grupa
Lai palīdzētu nodrošināt Kiberdrošības akta konsekventu īstenošanu un piemērošanu, tika izveidota Eiropas Kiberdrošības sertifikācijas grupa (ECCG). To veido valstu kiberdrošības sertifikācijas iestāžu pārstāvji vai citu attiecīgu valsts iestāžu pārstāvji. ECCG ir būtiska nozīme kandidātsertifikātu shēmas sagatavošanā un sertifikācijas sistēmas vispārējā īstenošanā.
Ieinteresēto personu kiberdrošības sertifikācijas grupa
Pēc Kiberdrošības akta stāšanās spēkā 2019. gadā tika izveidota ieinteresēto personu kiberdrošības sertifikācijas grupa (SCCG).
SCCG uzdevums ir konsultēt Komisiju un ENISA par stratēģiskiem jautājumiem saistībā ar kiberdrošības sertifikāciju un palīdzēt Komisijai sagatavot Savienības mainīgo darba programmu. Šī ir pirmā ieinteresēto personu ekspertu grupa kiberdrošības sertifikācijas jautājumos, ko izveidojusi Eiropas Komisija.
Jaunākās ziņas
Līdzīgs saturs
Lielais attēls
Eiropas Savienība darbojas dažādās jomās, lai veicinātu kibernoturību, aizsargātu mūsu komunikāciju un datus un saglabātu tiešsaistes sabiedrības un ekonomikas drošību.
Rociet dziļāk!
Eiropas Kiberdrošības sertifikācijas grupa tika izveidota, lai palīdzētu nodrošināt Kiberdrošības akta konsekventu īstenošanu un piemērošanu.
Skatīt arī
ES Kibersolidaritātes akts uzlabos sagatavotību kiberdrošības incidentiem, to atklāšanu un reaģēšanu uz tiem visā ES.
Jauni ES kiberdrošības noteikumi nodrošina drošāku aparatūru un programmatūru.
Būtisku pakalpojumu operatori (OES), valstu kiberdrošības sertifikācijas iestādes (NCCA) un valstu kompetentās iestādes (VKI) kiberdrošības jomā ir starp atlasītajiem pretendentiem, kuri saņems finansējumu 11 miljonu EUR apmērā no 2020. gada Eiropas infrastruktūras savienošanas...
Eiropas Kiberdrošības tīkls un kiberdrošības kompetenču centrs palīdz ES saglabāt un attīstīt kiberdrošības tehnoloģiskās un rūpnieciskās spējas.
Ieinteresēto personu kiberdrošības sertifikācijas grupa tika izveidota, lai sniegtu konsultācijas par stratēģiskiem jautājumiem saistībā ar kiberdrošības sertifikāciju.
Kiberdrošības akts stiprina ES Kiberdrošības aģentūru (ENISA) un izveido kiberdrošības sertifikācijas satvaru produktiem un pakalpojumiem.
TID2 direktīva ir ES mēroga tiesību akts kiberdrošības jomā. Tajā ir paredzēti juridiski pasākumi, lai palielinātu vispārējo kiberdrošības līmeni ES.