Unijne ramy certyfikacji cyberbezpieczeństwa

Certyfikacja odgrywa kluczową rolę w zwiększaniu zaufania i bezpieczeństwa do ważnych produktów i usług dla świata cyfrowego. Obecnie w UE istnieje szereg różnych systemów certyfikacji bezpieczeństwa produktów ICT. Bez wspólnych ram dla ogólnounijnych ważnych certyfikatów cyberbezpieczeństwa istnieje jednak coraz większe ryzyko fragmentacji i barier między państwami członkowskimi.

Ramy certyfikacji zapewnią ogólnounijne systemy certyfikacji jako kompleksowy zestaw zasad, wymogów technicznych, norm i procedur. Ramy te będą oparte na porozumieniu na szczeblu UE w sprawie oceny właściwości bezpieczeństwa konkretnego produktu lub usługi opartych na technologiach informacyjno-komunikacyjnych. Poświadczy on, że produkty i usługi ICT, które zostały certyfikowane zgodnie z takim systemem, spełniają określone wymogi.

W szczególności każdy program europejski powinien określać:

• kategorie objętych produktów i usług;
• wymogi w zakresie cyberbezpieczeństwa, takie jak normy lub specyfikacje techniczne;
• rodzaj oceny, np. samoocena lub osoba trzecia;
• zamierzonego poziomu pewności.

Poziomy pewności są wykorzystywane do informowania użytkowników o ryzyku w cyberprzestrzeni związanym z produktem i mogą być podstawowe, znaczne lub wysokie. Są one współmierne do poziomu ryzyka związanego z zamierzonym zastosowaniem produktu, usługi lub procesu pod względem prawdopodobieństwa i skutków wypadku. Wysoki poziom bezpieczeństwa oznaczałby, że certyfikowany produkt przeszedł najwyższe testy bezpieczeństwa.

Uzyskany certyfikat będzie uznawany we wszystkich państwach członkowskich UE, co ułatwi przedsiębiorstwom handel transgraniczny, a nabywcom zrozumienie zabezpieczeń produktu lub usługi.

Więcej informacji na temat prac nad certyfikacją cyberbezpieczeństwa UE można znaleźć w certyfikacie cyberbezpieczeństwa ENISA.

Unijny system certyfikacji cyberbezpieczeństwa oparty na wspólnych kryteriach (EUCC)

Pierwszy system, który ma zostać przyjęty w ramach certyfikacji na podstawie aktu o cyberbezpieczeństwie, opiera się na renomowanej międzynarodowej normie Common Criteria, stosowanej do wydawania certyfikatów w Europie od prawie 30 lat. System wykorzystuje wysoką reputację europejskich dostawców i podmiotów certyfikujących wykorzystujących certyfikację opartą na wspólnych kryteriach na całym świecie. System zacznie być dostępny dla sprzedawców od dnia 27 lutego 2025 r.

Program będzie miał zastosowanie na zasadzie dobrowolności w całej UE i koncentruje się na certyfikacji cyberbezpieczeństwa produktów ICT w ich cyklu życia: systemy biometryczne, zapory ogniowe (zarówno sprzęt, jak i oprogramowanie), platformy wykrywania i reagowania, routery, przełączniki, specjalistyczne oprogramowanie (takie jak systemy SIEM i IDS/IDP), diody danych, systemy operacyjne (w tym dla urządzeń mobilnych), zaszyfrowane pamięci masowe, bazy danych, a także karty inteligentne i bezpieczne elementy zawarte we wszelkiego rodzaju produktach, takie jak paszporty używane codziennie przez wszystkich obywateli. 

Więcej informacji na temat EUCC można znaleźć na stronie internetowej ENISA poświęconej certyfikacji.

kroczący program prac Unii w zakresie europejskiej certyfikacji cyberbezpieczeństwa (URWP)

Unijny akt o cyberbezpieczeństwie przewiduje opublikowanie przez Komisję kroczącego programu prac Unii w zakresie europejskiej certyfikacji cyberbezpieczeństwa, dokumentu określającego strategiczną wizję i refleksje na temat możliwych obszarów przyszłych europejskich systemów certyfikacji cyberbezpieczeństwa z uwzględnieniem ostatnich zmian legislacyjnych i rynkowych. 

Biorąc pod uwagę akt w sprawie cyberodporności i inne zmiany legislacyjne, takie jak rozporządzenie w sprawie europejskiej tożsamości cyfrowej, pierwszy URWP wskazuje obszary przyszłych europejskich systemów certyfikacji cyberbezpieczeństwa związane ze zmianami legislacyjnymi, a także obszary do rozważenia w przyszłości w odniesieniu do certyfikacji cyberbezpieczeństwa, co może ostatecznie prowadzić do wniosków o nowe systemy w razie potrzeby i w stosownych przypadkach. Ponadto określono w nim priorytety strategiczne, które należy wziąć pod uwagę przy przygotowywaniu wszelkich europejskich systemów certyfikacji cyberbezpieczeństwa. 

URWP podkreśla jako obszary przyszłej europejskiej certyfikacji cyberbezpieczeństwa związane z prawodawstwem UE, w szczególności portfelami identyfikacyjnymi i usługami zarządzanymi w zakresie bezpieczeństwa.  Inne obszary mogą obejmować systemy automatyki przemysłowej i sterowania oraz rozwój cyklu życia bezpieczeństwa w oparciu o wymogi agencji ratingowych, a także mechanizmy kryptograficzne.  

Europejska Grupa ds. Certyfikacji Cyberbezpieczeństwa 

Aby pomóc w zapewnieniu spójnego wdrażania i stosowania aktu o cyberbezpieczeństwie, powołano Europejską Grupę ds. Certyfikacji Cyberbezpieczeństwa (ECCG). W jej skład wchodzą przedstawiciele krajowych organów ds. certyfikacji cyberbezpieczeństwa lub przedstawiciele innych właściwych organów krajowych. ECCG ma zasadnicze znaczenie dla przygotowania kandydującego systemu certyfikatów i ogólnego wdrożenia ram certyfikacji.

Grupa zainteresowanych stron ds. certyfikacji cyberbezpieczeństwa

Po wejściu w życie aktu o cyberbezpieczeństwie w 2019 r. powołano Grupę Zainteresowanych Stron ds. Certyfikacji Cyberbezpieczeństwa (SCCG). 

SCCG jest odpowiedzialna za doradzanie Komisji i ENISA w kwestiach strategicznych dotyczących certyfikacji cyberbezpieczeństwa oraz wspieranie Komisji w przygotowaniu unijnego kroczącego programu prac. Jest to pierwsza grupa ekspertów zainteresowanych stron ds. certyfikacji cyberbezpieczeństwa powołana przez Komisję Europejską.

Śledź prace grupy