Unijne ramy certyfikacji cyberbezpieczeństwa

Certyfikacja odgrywa kluczową rolę w zwiększaniu zaufania i bezpieczeństwa do ważnych produktów i usług dla świata cyfrowego. Obecnie w UE istnieje szereg różnych systemów certyfikacji bezpieczeństwa produktów ICT. Jednak bez wspólnych ram dla ogólnounijnych ważnych certyfikatów bezpieczeństwa cybernetycznego istnieje rosnące ryzyko fragmentacji i barier między państwami członkowskimi.

Ramy certyfikacji zapewnią ogólnounijne systemy certyfikacji jako kompleksowy zestaw zasad, wymogów technicznych, norm i procedur. Ramy te będą oparte na porozumieniu na szczeblu UE w sprawie oceny właściwości bezpieczeństwa konkretnego produktu lub usługi opartej na ICT. Poświadczy, że produkty i usługi ICT, które zostały certyfikowane zgodnie z takim systemem, spełniają określone wymogi.

W szczególności każdy europejski system powinien określać:

• kategorie produktów i usług objętych niniejszą dyrektywą;
• wymogi w zakresie cyberbezpieczeństwa, takie jak normy lub specyfikacje techniczne;
• rodzaj oceny, taki jak samoocena lub osoba trzecia;
• zamierzonego poziomu pewności.

Poziomy pewności są wykorzystywane do informowania użytkowników o ryzyku związanym z cyberbezpieczeństwem związanym z produktem i mogą być podstawowe, znaczące lub wysokie. Są one współmierne do poziomu ryzyka związanego z zamierzonym wykorzystaniem produktu, usługi lub procesu pod względem prawdopodobieństwa i wpływu wypadku. Wysoki poziom pewności oznaczałby, że certyfikowany produkt przeszedł najwyższe testy bezpieczeństwa.

Otrzymany certyfikat będzie uznawany we wszystkich państwach członkowskich UE, co ułatwi przedsiębiorstwom handel transgraniczny, a nabywcom – zrozumienie zabezpieczeń produktu lub usługi.

System certyfikacji cyberbezpieczeństwa oparty na wspólnych kryteriach

Pierwszy system, który ma zostać przyjęty zgodnie z ramami certyfikacji aktu o cyberbezpieczeństwie, opiera się na renomowanych międzynarodowych standardach wspólnych kryteriów, stosowanych do wydawania certyfikatów w Europie od prawie 30 lat. System wykorzystuje wysoką reputację europejskich dostawców i certyfikatorów korzystających z certyfikacji opartej na wspólnych kryteriach na całym świecie. 

Program będzie miał zastosowanie na zasadzie dobrowolności w całej UE i koncentruje się na certyfikacji cyberbezpieczeństwa produktów ICT w ich cyklu życia: systemy biometryczne, zapory ogniowe (zarówno sprzętowe, jak i oprogramowanie), platformy wykrywania i reagowania, routery, przełączniki, specjalistyczne oprogramowanie (takie jak systemy SIEM i IDS/IDP), diody danych, systemy operacyjne (w tym na urządzenia mobilne), szyfrowane pamięci masowej, bazy danych, a także karty inteligentne i bezpieczne elementy wchodzące w skład wszelkiego rodzaju produktów, np. w paszportach używanych codziennie przez wszystkich obywateli. 

Unijny kroczący program prac na rzecz europejskiej certyfikacji cyberbezpieczeństwa (URWP)

Unijny akt o cyberbezpieczeństwie przewiduje opublikowanie przez Komisję unijnego kroczącego programu prac na rzecz europejskiej certyfikacji cyberbezpieczeństwa, dokumentu określającego strategiczną wizję i refleksje na temat możliwych obszarów przyszłych europejskich systemów certyfikacji cyberbezpieczeństwa, biorąc pod uwagę niedawne zmiany legislacyjne i rynkowe. 

Biorąc pod uwagę akt w sprawie cyberodporności (CRA) i inne zmiany legislacyjne, takie jak europejskie rozporządzenie w sprawie tożsamości cyfrowej, pierwszy URWP wskazuje obszary przyszłych europejskich systemów certyfikacji cyberbezpieczeństwa związane z zmianami legislacyjnymi, a także obszary przyszłej refleksji nad certyfikacją cyberbezpieczeństwa, które mogą ostatecznie prowadzić do wniosków o nowe systemy, w razie potrzeby i w stosownych przypadkach. Ponadto określono w nim priorytety strategiczne, które należy uwzględnić przy przygotowywaniu jakiegokolwiek europejskiego systemu certyfikacji cyberbezpieczeństwa. 

W URWP podkreśla się jako obszary przyszłej europejskiej certyfikacji cyberbezpieczeństwa powiązane z prawodawstwem UE, w szczególności portfele ID i zarządzane usługi bezpieczeństwa.  Inne obszary mogą obejmować systemy automatyki przemysłowej i sterowania oraz rozwój cyklu życia bezpieczeństwa w oparciu o wymogi agencji ratingowej, a także mechanizmy kryptograficzne.  

Europejska Grupa ds. Certyfikacji Cyberbezpieczeństwa 

Powołano Europejską Grupę ds. Certyfikacji Cyberbezpieczeństwa (ECCG) w celu zapewnienia spójnego wdrażania i stosowania aktu o cyberbezpieczeństwie. W jego skład wchodzą przedstawiciele krajowych organów ds. certyfikacji cyberbezpieczeństwa lub przedstawiciele innych właściwych organów krajowych. ECCG ma zasadnicze znaczenie dla przygotowania systemu certyfikatów kandydujących i ogólnego wdrożenia ram certyfikacji.

Grupa ds. certyfikacji cyberbezpieczeństwa zainteresowanych stron

Po wejściu w życie aktu o cyberbezpieczeństwie w 2019 r. powołano Grupę Zainteresowanych Stron ds. Certyfikacji Cyberbezpieczeństwa (SCCG). 

SCCG jest odpowiedzialna za doradzanie Komisji i ENISA w kwestiach strategicznych dotyczących certyfikacji cyberbezpieczeństwa oraz za wspieranie Komisji w przygotowywaniu kroczącego programu prac Unii. Jest to pierwsza grupa ekspertów zainteresowanych stron ds. certyfikacji cyberbezpieczeństwa uruchomiona przez Komisję Europejską.

Śledź prace Grupy