ES kiberdrošības sertifikācijas satvars

Sertifikācijai ir izšķiroša nozīme, lai palielinātu uzticēšanos digitālajai pasaulei svarīgiem produktiem un pakalpojumiem un to drošību. Pašlaik ES pastāv vairākas atšķirīgas IKT produktu drošības sertifikācijas shēmas. Tomēr, ja ES mērogā netiks izveidots vienots derīgu kiberdrošības sertifikātu satvars, pieaugs sadrumstalotības un šķēršļu risks starp dalībvalstīm.

Sertifikācijas satvars nodrošinās ES mēroga sertifikācijas shēmas kā visaptverošu noteikumu, tehnisko prasību, standartu un procedūru kopumu. Satvara pamatā būs ES līmeņa vienošanās par konkrēta uz IKT balstīta produkta vai pakalpojuma drošības īpašību novērtējumu. Tā apliecinās, ka IKT produkti un pakalpojumi, kas ir sertificēti saskaņā ar šādu shēmu, atbilst konkrētām prasībām.

Jo īpaši katrā Eiropas shēmā būtu jānorāda:

• aptverto produktu un pakalpojumu kategorijas;
• kiberdrošības prasības, piemēram, standartus vai tehniskās specifikācijas;
• novērtējuma veids, piemēram, pašnovērtējums vai trešās personas novērtējums;
• paredzēto pārliecības līmeni.

Apliecinājuma līmeņus izmanto, lai informētu lietotājus par produkta kiberdrošības risku, un tie var būt pamata, būtiski un/vai augsti. Tie ir samērīgi ar riska līmeni, kas saistīts ar produkta, pakalpojuma vai procesa paredzēto lietojumu negadījuma varbūtības un ietekmes ziņā. Augsts garantijas līmenis nozīmētu, ka sertificētais produkts izturēja visaugstākos drošības testus.

Iegūtais sertifikāts tiks atzīts visās ES dalībvalstīs, tādējādi uzņēmumiem būs vieglāk tirgoties pāri robežām un pircējiem būs vieglāk saprast produkta vai pakalpojuma drošības elementus.

Lai uzzinātu vairāk par darbu, kas paveikts saistībā ar ES kiberdrošības sertifikāciju, skatiet ENISA kiberdrošības sertifikāciju.

ES kiberdrošības sertifikācijas shēma par kopīgiem kritērijiem (EUCC)

Pirmā shēma, kas jāpieņem saskaņā ar Kiberdrošības akta sertifikācijas satvaru, ir balstīta uz atzītajiem starptautiskajiem standarta kopējiem kritērijiem, ko izmanto sertifikātu izdošanai Eiropā jau gandrīz 30 gadus. Shēma izmanto Eiropas pārdevēju un sertificētāju augsto reputāciju, izmantojot uz kopējiem kritērijiem balstītu sertifikāciju visā pasaulē. Shēma būs pieejama pārdevējiem no 2025. gada 27. februāra.

Shēma tiks piemērota brīvprātīgi visā ES, un tās mērķis ir sertificēt IKT produktu kiberdrošību to aprites ciklā: biometriskās sistēmas, ugunsmūri (gan aparatūra, gan programmatūra), atklāšanas un reaģēšanas platformas, maršrutētāji, komutatori, specializēta programmatūra (piemēram, SIEM un IDS/IDP sistēmas), datu diodes, operētājsistēmas (tostarp mobilajām ierīcēm), šifrētas krātuves, datubāzes, kā arī viedkartes un droši elementi, kas iekļauti visu veidu produktos, piemēram, pasēs, ko ikdienā izmanto visi iedzīvotāji. 

Lai uzzinātu vairāk par EUCC, skatiet ENISA sertifikācijas tīmekļa vietni.

Savienības mainīgā darba programma Eiropas kiberdrošības sertifikācijai (URWP)

ES Kiberdrošības akts paredz, ka Komisija publicē Savienības mainīgo darba programmu Eiropas kiberdrošības sertifikācijai — dokumentu, kurā izklāstīts stratēģisks redzējums un pārdomas par iespējamām jomām turpmākajās Eiropas kiberdrošības sertifikācijas shēmās, ņemot vērā jaunākās likumdošanas un tirgus norises. 

Ņemot vērā Kibernoturības aktu (KRA) un citas likumdošanas norises, piemēram, Eiropas digitālās identitātes regulu, pirmajā URWP ir norādītas jomas, kurās nākotnē būtu vajadzīgas Eiropas kiberdrošības sertifikācijas shēmas saistībā ar likumdošanas norisēm, kā arī jomas, kurās nākotnē būtu jāapsver kiberdrošības sertifikācija, kā rezultātā vajadzības gadījumā varētu tikt pieprasītas jaunas shēmas. Turklāt tajā ir izklāstītas stratēģiskās prioritātes, kas jāņem vērā, sagatavojot jebkuru Eiropas kiberdrošības sertifikācijas shēmu. 

URWP uzsver, ka turpmākā Eiropas kiberdrošības sertifikācija būs saistīta ar ES tiesību aktiem, jo īpaši ID makiem un pārvaldītiem drošības pakalpojumiem.  Citas jomas varētu būt rūpnieciskās automatizācijas un kontroles sistēmas un drošības dzīves cikla izstrāde, pamatojoties uz KRA prasībām, kā arī kriptogrāfijas mehānismi.  

Eiropas Kiberdrošības sertifikācijas grupa 

Lai palīdzētu nodrošināt Kiberdrošības akta konsekventu īstenošanu un piemērošanu, tika izveidota Eiropas Kiberdrošības sertifikācijas grupa (ECCG). To veido valstu kiberdrošības sertifikācijas iestāžu pārstāvji vai citu attiecīgo valsts iestāžu pārstāvji. ECCG ir būtiska nozīme kandidātsertifikātu shēmas sagatavošanā un sertifikācijas satvara vispārējā īstenošanā.

Ieinteresēto personu kiberdrošības sertifikācijas grupa

Pēc Kiberdrošības akta stāšanās spēkā 2019. gadā tika izveidota Ieinteresēto personu kiberdrošības sertifikācijas grupa (SCCG). 

SCCG uzdevums ir konsultēt Komisiju un ENISA par stratēģiskiem jautājumiem saistībā ar kiberdrošības sertifikāciju un palīdzēt Komisijai sagatavot Savienības mainīgo darba programmu. Šī ir pirmā ieinteresēto personu ekspertu grupa kiberdrošības sertifikācijas jautājumos, ko izveidojusi Eiropas Komisija.

Sekojiet līdzi grupas darbam