Skip to main content
Shaping Europe’s digital future

ES kiberdrošības sertifikācijas satvars

ES kiberdrošības sertifikācijas satvars IKT produktiem ļauj izveidot pielāgotas un uz risku balstītas ES sertifikācijas shēmas.

    Persona, kas tur planšetdatoru ar roku uz augšu, lai ekrāns nerādītos. Virs ekrāna ir piekaramā atslēga, ko ieskauj mazākas ikonas, kas attēlo digitālo pasauli.

© iStock by Getty Images -1159281243 Wojtek Skora

Sertifikācijai ir izšķiroša nozīme, lai palielinātu uzticēšanos un drošību attiecībā uz digitālajai pasaulei svarīgiem produktiem un pakalpojumiem. Pašlaik ES pastāv vairākas dažādas IKT produktu drošības sertifikācijas shēmas. Taču, ja nav vienota satvara attiecībā uz ES mēroga derīgiem kiberdrošības sertifikātiem, palielinās sadrumstalotības un šķēršļu risks starp dalībvalstīm.

Sertifikācijas sistēma nodrošinās ES mēroga sertifikācijas shēmas kā visaptverošu noteikumu, tehnisko prasību, standartu un procedūru kopumu. Sistēmas pamatā būs ES līmeņa vienošanās par konkrēta uz IKT balstīta produkta vai pakalpojuma drošības īpašību novērtējumu. Tā apliecinās, ka IKT produkti un pakalpojumi, kas sertificēti saskaņā ar šādu shēmu, atbilst noteiktām prasībām.

Jo īpaši katrā Eiropas shēmā būtu jānorāda:

  • aptvertās produktu un pakalpojumu kategorijas;
  • kiberdrošības prasības, piemēram, standarti vai tehniskās specifikācijas;
  • novērtējuma veids, piemēram, pašnovērtējums vai trešā persona;
  • paredzētais ticamības līmenis.

Apliecinājuma līmeņus izmanto, lai informētu lietotājus par produkta kiberdrošības risku, un tie var būt pamata, būtiski un/vai augsti. Tās ir samērīgas ar riska līmeni, kas saistīts ar produkta, pakalpojuma vai procesa paredzēto izmantošanu, ņemot vērā nelaimes gadījuma varbūtību un ietekmi. Augsts ticamības līmenis nozīmētu, ka sertificētais produkts ir izturējis visaugstākos drošības testus.

Iegūtais sertifikāts tiks atzīts visās ES dalībvalstīs, atvieglojot uzņēmumu pārrobežu tirdzniecību un pircējiem ļaujot saprast produkta vai pakalpojuma drošības elementus.

Kopēja uz kritērijiem balstīta kiberdrošības sertifikācijas shēma

Pirmā shēma, kas jāpieņem saskaņā ar Kiberdrošības akta sertifikācijas sistēmu, ir balstīta uz atzītajiem starptautiskajiem standartiem “Kopējie kritēriji”, ko izmanto sertifikātu izdošanai Eiropā gandrīz 30 gadus. Shēma izmanto priekšrocības, ko sniedz Eiropas pārdevēju un sertificētāju augstā reputācija, izmantojot uz kopējiem kritērijiem balstītu sertifikāciju visā pasaulē. 

Shēmu piemēros brīvprātīgi visā ES, un tā koncentrēsies uz IKT produktu kiberdrošības sertifikāciju to dzīves ciklā: biometriskās sistēmas, ugunsmūri (gan aparatūra, gan programmatūra), atklāšanas un reaģēšanas platformas, maršrutētāji, slēdži, specializēta programmatūra (piemēram, SIEM un IDS/IDP sistēmas), datu diodes, operētājsistēmas (tostarp mobilajām ierīcēm), šifrētas atmiņas, datubāzes, kā arī viedkartes un droši elementi, kas iekļauti visu veidu produktos, piemēram, pasēs, ko ikdienā izmanto visi iedzīvotāji. 

Savienības mainīgā darba programma Eiropas kiberdrošības sertifikācijai (URWP)

ES Kiberdrošības aktā ir paredzēts, ka Komisija publicēs Savienības mainīgo darba programmu Eiropas kiberdrošības sertifikācijai — dokumentu, kurā izklāstīts stratēģisks redzējums un pārdomas par iespējamām jomām turpmākajām Eiropas kiberdrošības sertifikācijas shēmām, ņemot vērā jaunākās likumdošanas un tirgus norises. 

Ņemot vērā Kibernoturības aktu (CRA) un citas likumdošanas norises, piemēram, Eiropas Digitālās identitātes regulu, pirmajā URWP ir norādīts uz jomām, kurās nākotnē varētu būt vajadzīgas Eiropas kiberdrošības sertifikācijas shēmas, kas saistītas ar likumdošanas norisēm, kā arī uz jomām, kurās nākotnē jāapsver kiberdrošības sertifikācija, kā rezultātā vajadzības un vajadzības gadījumā varētu tikt pieprasītas jaunas shēmas. Turklāt tajā ir izklāstītas stratēģiskās prioritātes, kas jāņem vērā, sagatavojot jebkādu Eiropas kiberdrošības sertifikācijas shēmu. 

URWP uzsver, ka turpmākās Eiropas kiberdrošības sertifikācijas jomas ir saistītas ar ES tiesību aktiem, jo īpaši ID makiem un pārvaldītiem drošības pakalpojumiem.  Citas jomas varētu būt rūpnieciskās automatizācijas un kontroles sistēmas un drošības dzīves cikla izstrāde, pamatojoties uz kredītreitingu aģentūru prasībām, kā arī kriptogrāfijas mehānismi.  

Eiropas Kiberdrošības sertifikācijas grupa 

Lai palīdzētu nodrošināt Kiberdrošības akta konsekventu īstenošanu un piemērošanu, tika izveidota Eiropas Kiberdrošības sertifikācijas grupa (ECCG). To veido valstu kiberdrošības sertifikācijas iestāžu pārstāvji vai citu attiecīgu valsts iestāžu pārstāvji. ECCG ir būtiska nozīme kandidātsertifikātu shēmas sagatavošanā un sertifikācijas sistēmas vispārējā īstenošanā.

Ieinteresēto personu kiberdrošības sertifikācijas grupa

Pēc Kiberdrošības akta stāšanās spēkā 2019. gadā tika izveidota ieinteresēto personu kiberdrošības sertifikācijas grupa (SCCG). 

SCCG uzdevums ir konsultēt Komisiju un ENISA par stratēģiskiem jautājumiem saistībā ar kiberdrošības sertifikāciju un palīdzēt Komisijai sagatavot Savienības mainīgo darba programmu. Šī ir pirmā ieinteresēto personu ekspertu grupa kiberdrošības sertifikācijas jautājumos, ko izveidojusi Eiropas Komisija.

Sekojiet grupas darbam

Jaunākās ziņas

Līdzīgs saturs

Lielais attēls

Kiberdrošības politika

Eiropas Savienība darbojas dažādās jomās, lai veicinātu kibernoturību, aizsargātu mūsu komunikāciju un datus un saglabātu tiešsaistes sabiedrības un ekonomikas drošību.

Rociet dziļāk!

Skatīt arī

ES Kibersolidaritātes akts

ES Kibersolidaritātes akts uzlabos sagatavotību kiberdrošības incidentiem, to atklāšanu un reaģēšanu uz tiem visā ES.

22 kiberdrošības projekti, kas atlasīti, lai saņemtu 10,9 miljonus eiro

Būtisku pakalpojumu operatori (OES), valstu kiberdrošības sertifikācijas iestādes (NCCA) un valstu kompetentās iestādes (VKI) kiberdrošības jomā ir starp atlasītajiem pretendentiem, kuri saņems finansējumu 11 miljonu EUR apmērā no 2020. gada Eiropas infrastruktūras savienošanas...

ES Kiberdrošības akts

Kiberdrošības akts stiprina ES Kiberdrošības aģentūru (ENISA) un izveido kiberdrošības sertifikācijas satvaru produktiem un pakalpojumiem.