Il-qafas taċ-ċertifikazzjoni taċ-ċibersigurtà tal-UE

Iċ-ċertifikazzjoni għandha rwol kruċjali fiż-żieda tal-fiduċja u s-sigurtà fi prodotti u servizzi importanti għad-dinja diġitali. Bħalissa, fl-UE jeżistu għadd ta’ skemi differenti ta’ ċertifikazzjoni tas-sigurtà għall-prodotti tal-ICT. Iżda, mingħajr qafas komuni għal ċertifikati taċ-ċibersigurtà validi fl-UE kollha, hemm riskju dejjem akbar ta’ frammentazzjoni u ostakli bejn l-Istati Membri.

Il-qafas taċ-ċertifikazzjoni se jipprovdi skemi ta’ ċertifikazzjoni madwar l-UE kollha bħala sett komprensiv ta’ regoli, rekwiżiti tekniċi, standards u proċeduri. Il-qafas se jkun ibbażat fuq ftehim fil-livell tal-UE dwar l-evalwazzjoni tal-proprjetajiet tas-sigurtà ta’ prodott jew servizz speċifiku bbażat fuq l-ICT. Dan se jixhed li l-prodotti u s-servizzi tal-ICT li ġew iċċertifikati f’konformità ma’ tali skema jikkonformaw mar-rekwiżiti speċifikati.

B’mod partikolari, kull skema Ewropea għandha tispeċifika:

• il-kategoriji ta’ prodotti u servizzi koperti;
• ir-rekwiżiti taċ-ċibersigurtà, bħal standards jew speċifikazzjonijiet tekniċi;
• it-tip ta’ evalwazzjoni, bħal awtovalutazzjoni jew parti terza;
• il-livell maħsub ta’ assigurazzjoni.

Il-livelli ta’ assigurazzjoni jintużaw biex jinfurmaw lill-utenti dwar ir-riskju taċ-ċibersigurtà ta’ prodott, u jistgħu jkunu bażiċi, sostanzjali u/jew għoljin. Ikunu proporzjonati mal-livell ta’ riskju assoċjat mal-użu maħsub tal-prodott, tas-servizz jew tal-proċess, f’termini ta’ probabbiltà u impatt ta’ inċident. Livell għoli ta’ assigurazzjoni jkun ifisser li l-prodott iċċertifikat ikun għadda mill-ogħla testijiet ta’ sigurtà.

Iċ-ċertifikat li jirriżulta se jiġi rikonoxxut fl-Istati Membri kollha tal-UE, u b’hekk ikun aktar faċli għan-negozji biex jinnegozjaw bejn il-fruntieri u għax-xerrejja biex jifhmu l-karatteristiċi tas-sigurtà tal-prodott jew tas-servizz.

Skema ta’ Ċertifikazzjoni taċ-Ċibersigurtà bbażata fuq il-Kriterji Komuni

l-ewwel skema li għandha tiġi adottata skont il-qafas taċ-ċertifikazzjoni tal-Att dwar iċ-Ċibersigurtà hija bbażata fuq il-Kriterji Komuni standard internazzjonali magħrufa, użati għall-ħruġ ta’ ċertifikati fl-Ewropa għal kważi 30 sena issa. l-iskema tieħu vantaġġ mir-reputazzjoni għolja tal-bejjiegħa u ċ-ċertifikati Ewropej li jużaw iċ-ċertifikazzjoni bbażata fuq il-Kriterji Komuni madwar id-dinja. 

l-iskema se tapplika fuq bażi volontarja fl-UE kollha u tiffoka fuq iċ-ċertifikazzjoni taċ-ċibersigurtà tal-prodotti ICT fiċ-ċiklu tal-ħajja tagħhom: sistemi bijometriċi, firewalls (kemm hardware kif ukoll software), pjattaformi ta’ detezzjoni u rispons, routers, swiċċijiet, software speċjalizzat (bħas-sistemi SIEM u IDS/IDP), dajowds tad-data, sistemi operattivi (inkluż għal apparat mobbli), ħażniet kriptati, bażijiet tad-data kif ukoll smart cards u elementi siguri inklużi f’kull tip ta’ prodott, bħal fil-passaporti li jintużaw kuljum miċ-ċittadini kollha. 

Programm ta’ Ħidma Kontinwu tal-Unjoni għaċ-ċertifikazzjoni Ewropea taċ-ċibersigurtà (URWP)

l-Att tal-UE dwar iċ-Ċibersigurtà jipprevedi l-pubblikazzjoni mill-Kummissjoni ta’ Programm ta’ Ħidma Kontinwu tal-Unjoni għaċ-ċertifikazzjoni Ewropea taċ-ċibersigurtà, dokument li jistabbilixxi viżjoni strateġika u riflessjonijiet dwar oqsma possibbli għal skemi Ewropej futuri taċ-ċertifikazzjoni taċ-ċibersigurtà filwaqt li jitqiesu l-iżviluppi leġiżlattivi u tas-suq reċenti. 

Filwaqt li jqis l- Att dwar ir-Reżiljenza Ċibernetika (CRA) u żviluppi leġiżlattivi oħra, bħar- Regolament Ewropew dwar l-Identità Diġitali, il- ewwel URWP jindika oqsma għal skemi Ewropej futuri taċ-ċertifikazzjoni taċ-ċibersigurtà marbuta ma’ żviluppi leġiżlattivi kif ukoll oqsma għal riflessjoni futura dwar iċ-ċertifikazzjoni taċ-ċibersigurtà, li eventwalment jistgħu jwasslu għal talbiet għal skemi ġodda fejn meħtieġ u xieraq. Barra minn hekk, jiddeskrivi l-prijoritajiet strateġiċi li għandhom jiġu kkunsidrati fit-tħejjija ta’ kwalunkwe skema Ewropea taċ-ċertifikazzjoni taċ-ċibersigurtà. 

l-URWP jenfasizza bħala oqsma għaċ-ċertifikazzjoni taċ-ċibersigurtà Ewropea futura marbuta mal-leġiżlazzjoni tal-UE b’mod partikolari l-Kartieri tal-ID u s-servizzi tas-sigurtà ġestiti.  Oqsma oħra jistgħu jinkludu Sistemi ta’ Awtomazzjoni u Kontroll Industrijali u żvilupp taċ-ċiklu tal-ħajja tas-sigurtà li jibnu fuq ir-rekwiżiti tas-CRA kif ukoll mekkaniżmi kriptografiċi.  

Grupp Ewropew taċ-Ċertifikazzjoni taċ-Ċibersigurtà 

Il- Grupp Ewropew taċ-Ċertifikazzjoni taċ-Ċibersigurtà (ECCG) ġie stabbilit biex jgħin fl-iżgurar tal-implimentazzjoni u l-applikazzjoni konsistenti tal-Att dwar iċ-Ċibersigurtà. Huwa magħmul minn rappreżentanti tal-awtoritajiet nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà jew rappreżentanti ta’ awtoritajiet nazzjonali rilevanti oħra. l-ECCG huwa strumentali għat-tħejjija tal-iskema ta’ ċertifikati kandidati u l-implimentazzjoni ġenerali tal-qafas ta’ ċertifikazzjoni.

Grupp ta’ Ċertifikazzjoni taċ-Ċibersigurtà tal-Partijiet Ikkonċerna

Wara d-dħul fis-seħħ tal-Att dwar iċ-Ċibersigurtà fl-2019, ġie stabbilit il-Grupp tal-Partijiet Ikkonċernati taċ-Ċertifikazzjoni taċ-Ċibersigurtà (SCCG). 

Il-SCCG huwa responsabbli biex jagħti pariri lill-Kummissjoni u lill-ENISA dwar kwistjonijiet strateġiċi rigward iċ-ċertifikazzjoni taċ-ċibersigurtà, u biex jassisti lill-Kummissjoni fit-tħejjija tal-programm ta’ ħidma kontinwu tal-Unjoni. Dan huwa l-ewwel grupp ta’ esperti tal-partijiet ikkonċernati għaċ-ċertifikazzjoni taċ-ċibersigurtà mniedi mill-Kummissjoni Ewropea.

Segwi l-ħidma tal-Grupp