Certyfikacja odgrywa kluczową rolę w zwiększaniu zaufania i bezpieczeństwa do ważnych produktów i usług dla świata cyfrowego. Obecnie w UE istnieje szereg różnych systemów certyfikacji bezpieczeństwa produktów ICT. Jednak bez wspólnych ram dla ogólnounijnych ważnych certyfikatów bezpieczeństwa cybernetycznego istnieje rosnące ryzyko fragmentacji i barier między państwami członkowskimi.
Ramy certyfikacji zapewnią ogólnounijne systemy certyfikacji jako kompleksowy zestaw zasad, wymogów technicznych, norm i procedur. Ramy te będą oparte na porozumieniu na szczeblu UE w sprawie oceny właściwości bezpieczeństwa konkretnego produktu lub usługi opartej na ICT. Poświadczy, że produkty i usługi ICT, które zostały certyfikowane zgodnie z takim systemem, spełniają określone wymogi.
W szczególności każdy europejski system powinien określać:
- kategorie produktów i usług objętych niniejszą dyrektywą;
- wymogi w zakresie cyberbezpieczeństwa, takie jak normy lub specyfikacje techniczne;
- rodzaj oceny, taki jak samoocena lub osoba trzecia;
- zamierzonego poziomu pewności.
Poziomy pewności są wykorzystywane do informowania użytkowników o ryzyku związanym z cyberbezpieczeństwem związanym z produktem i mogą być podstawowe, znaczące lub wysokie. Są one współmierne do poziomu ryzyka związanego z zamierzonym wykorzystaniem produktu, usługi lub procesu pod względem prawdopodobieństwa i wpływu wypadku. Wysoki poziom pewności oznaczałby, że certyfikowany produkt przeszedł najwyższe testy bezpieczeństwa.
Otrzymany certyfikat będzie uznawany we wszystkich państwach członkowskich UE, co ułatwi przedsiębiorstwom handel transgraniczny, a nabywcom – zrozumienie zabezpieczeń produktu lub usługi.
System certyfikacji cyberbezpieczeństwa oparty na wspólnych kryteriach
Pierwszy system, który ma zostać przyjęty zgodnie z ramami certyfikacji aktu o cyberbezpieczeństwie, opiera się na renomowanych międzynarodowych standardach wspólnych kryteriów, stosowanych do wydawania certyfikatów w Europie od prawie 30 lat. System wykorzystuje wysoką reputację europejskich dostawców i certyfikatorów korzystających z certyfikacji opartej na wspólnych kryteriach na całym świecie.
Program będzie miał zastosowanie na zasadzie dobrowolności w całej UE i koncentruje się na certyfikacji cyberbezpieczeństwa produktów ICT w ich cyklu życia: systemy biometryczne, zapory ogniowe (zarówno sprzętowe, jak i oprogramowanie), platformy wykrywania i reagowania, routery, przełączniki, specjalistyczne oprogramowanie (takie jak systemy SIEM i IDS/IDP), diody danych, systemy operacyjne (w tym na urządzenia mobilne), szyfrowane pamięci masowej, bazy danych, a także karty inteligentne i bezpieczne elementy wchodzące w skład wszelkiego rodzaju produktów, np. w paszportach używanych codziennie przez wszystkich obywateli.
Unijny kroczący program prac na rzecz europejskiej certyfikacji cyberbezpieczeństwa (URWP)
Unijny akt o cyberbezpieczeństwie przewiduje opublikowanie przez Komisję unijnego kroczącego programu prac na rzecz europejskiej certyfikacji cyberbezpieczeństwa, dokumentu określającego strategiczną wizję i refleksje na temat możliwych obszarów przyszłych europejskich systemów certyfikacji cyberbezpieczeństwa, biorąc pod uwagę niedawne zmiany legislacyjne i rynkowe.
Biorąc pod uwagę akt w sprawie cyberodporności (CRA) i inne zmiany legislacyjne, takie jak europejskie rozporządzenie w sprawie tożsamości cyfrowej, pierwszy URWP wskazuje obszary przyszłych europejskich systemów certyfikacji cyberbezpieczeństwa związane z zmianami legislacyjnymi, a także obszary przyszłej refleksji nad certyfikacją cyberbezpieczeństwa, które mogą ostatecznie prowadzić do wniosków o nowe systemy, w razie potrzeby i w stosownych przypadkach. Ponadto określono w nim priorytety strategiczne, które należy uwzględnić przy przygotowywaniu jakiegokolwiek europejskiego systemu certyfikacji cyberbezpieczeństwa.
W URWP podkreśla się jako obszary przyszłej europejskiej certyfikacji cyberbezpieczeństwa powiązane z prawodawstwem UE, w szczególności portfele ID i zarządzane usługi bezpieczeństwa. Inne obszary mogą obejmować systemy automatyki przemysłowej i sterowania oraz rozwój cyklu życia bezpieczeństwa w oparciu o wymogi agencji ratingowej, a także mechanizmy kryptograficzne.
Europejska Grupa ds. Certyfikacji Cyberbezpieczeństwa
Powołano Europejską Grupę ds. Certyfikacji Cyberbezpieczeństwa (ECCG) w celu zapewnienia spójnego wdrażania i stosowania aktu o cyberbezpieczeństwie. W jego skład wchodzą przedstawiciele krajowych organów ds. certyfikacji cyberbezpieczeństwa lub przedstawiciele innych właściwych organów krajowych. ECCG ma zasadnicze znaczenie dla przygotowania systemu certyfikatów kandydujących i ogólnego wdrożenia ram certyfikacji.
Grupa ds. certyfikacji cyberbezpieczeństwa zainteresowanych stron
Po wejściu w życie aktu o cyberbezpieczeństwie w 2019 r. powołano Grupę Zainteresowanych Stron ds. Certyfikacji Cyberbezpieczeństwa (SCCG).
SCCG jest odpowiedzialna za doradzanie Komisji i ENISA w kwestiach strategicznych dotyczących certyfikacji cyberbezpieczeństwa oraz za wspieranie Komisji w przygotowywaniu kroczącego programu prac Unii. Jest to pierwsza grupa ekspertów zainteresowanych stron ds. certyfikacji cyberbezpieczeństwa uruchomiona przez Komisję Europejską.
Najnowsze wiadomości
Podobne tematy
W szerszej perspektywie
Unia Europejska działa na różnych frontach w celu promowania cyberodporności, ochrony naszej komunikacji i danych oraz zapewnienia bezpieczeństwa społeczeństwa i gospodarki online.
Szczegółowe wyjaśnienia
Powołano Europejską Grupę ds. Certyfikacji Cyberbezpieczeństwa, aby pomóc w zapewnieniu spójnego wdrażania i stosowania aktu o cyberbezpieczeństwie.
Zobacz też
Unijny akt o solidarności cybernetycznej przyczyni się do poprawy gotowości, wykrywania incydentów cybernetycznych i reagowania na nie w całej UE.
Nowe unijne przepisy dotyczące cyberbezpieczeństwa zapewniają bezpieczniejszy sprzęt i oprogramowanie.
Operatorzy podstawowych usług (OES), krajowe organy certyfikacji bezpieczeństwa cybernetycznego (NCCA) i właściwe organy krajowe ds. cyberbezpieczeństwa należą do wybranych wnioskodawców, którzy otrzymają finansowanie w wysokości 11 mln EUR w ramach zaproszenia do składania...
Europejska Sieć Cyberbezpieczeństwa i Centrum Kompetencji w dziedzinie Cyberbezpieczeństwa pomagają UE utrzymać i rozwijać zdolności technologiczne i przemysłowe w dziedzinie cyberbezpieczeństwa.
Grupa Interesariuszy ds. Certyfikacji Cyberbezpieczeństwa została powołana w celu doradzania w kwestiach strategicznych dotyczących certyfikacji cyberbezpieczeństwa.
Akt w sprawie cyberbezpieczeństwa wzmacnia Agencję UE ds. Cyberbezpieczeństwa (ENISA) i ustanawia ramy certyfikacji cyberbezpieczeństwa dla produktów i usług.
Dyrektywa NIS2 to ogólnounijne przepisy dotyczące cyberbezpieczeństwa. Przewiduje on środki prawne mające na celu zwiększenie ogólnego poziomu cyberbezpieczeństwa w UE.