Unijne ramy certyfikacji cyberbezpieczeństwa

Unijne ramy certyfikacji cyberbezpieczeństwa produktów technologii informacyjno-komunikacyjnych (ICT) umożliwiają stosowanie dostosowanych do potrzeb i opartych na analizie ryzyka unijnych systemów certyfikacji.

Certyfikacja odgrywa kluczową rolę w zwiększaniu zaufania i bezpieczeństwa do produktów i usług o krytycznym znaczeniu dla świata cyfrowego. Obecnie w UE istnieje szereg różnych systemów certyfikacji bezpieczeństwa produktów ICT. Bez wspólnych ram dla ogólnounijnych ważnych certyfikatów cyberbezpieczeństwa istnieje jednak coraz większe ryzyko fragmentacji i barier między państwami członkowskimi.

Ramy certyfikacji

Ramy certyfikacji zapewnią ogólnounijne systemy certyfikacji jako kompleksowy zestaw zasad, wymogów technicznych, norm i procedur. Ramy te będą oparte na porozumieniu na szczeblu UE w sprawie oceny właściwości bezpieczeństwa konkretnego produktu lub usługi opartych na technologiach informacyjno-komunikacyjnych. Poświadczy on, że produkty i usługi ICT, które zostały certyfikowane zgodnie z takim systemem, spełniają określone wymogi.

W szczególności każdy program europejski powinien określać:

kategorie objętych produktów i usług;
wymogi w zakresie cyberbezpieczeństwa, takie jak normy lub specyfikacje techniczne;
rodzaj oceny, np. samoocena lub osoba trzecia;
Zamierzony poziom pewności.

Poziomy pewności są wykorzystywane do informowania użytkowników o ryzyku w cyberprzestrzeni produktu i mogą być podstawowe, znaczne lub wysokie. Są one współmierne do poziomu ryzyka związanego z zamierzonym zastosowaniem produktu, usługi lub procesu pod względem prawdopodobieństwa i skutków wypadku. Wysoki poziom bezpieczeństwa oznaczałby, że certyfikowany produkt przeszedł najwyższe testy bezpieczeństwa.

Uzyskany certyfikat

Uzyskany certyfikat będzie uznawany we wszystkich państwach członkowskich UE, co ułatwi przedsiębiorstwom handel transgraniczny, a nabywcom zrozumienie zabezpieczeń produktu lub usługi.

Więcej informacji na temat prac nad certyfikacją cyberbezpieczeństwa UE można znaleźć w certyfikacie cyberbezpieczeństwa ENISA.

Unijny system certyfikacji cyberbezpieczeństwa oparty na wspólnych kryteriach (EUCC)

Pierwszy system, który ma zostać przyjęty w ramach certyfikacji na podstawie aktu o cyberbezpieczeństwie, opiera się na renomowanej międzynarodowej normie Common Criteria, stosowanej do wydawania certyfikatów w Europie od prawie 30 lat. System wykorzystuje wysoką reputację europejskich dostawców i podmiotów certyfikujących wykorzystujących certyfikację opartą na wspólnych kryteriach na całym świecie. System zacznie być dostępny dla sprzedawców od dnia 27 lutego 2025 r.

Program będzie miał zastosowanie w całej UE, na zasadzie dobrowolności, i koncentruje się na certyfikacji cyberbezpieczeństwa produktów ICT w ich cyklu życia, w tym:

Systemy biometryczne
Zapory sieciowe (zarówno sprzętowe, jak i programowe)
Platformy wykrywania i reagowania
Routery
Przełączniki
Specjalistyczne oprogramowanie (takie jak systemy SIEM i IDS/IDP)
Diody danych
Systemy operacyjne (w tym dla urządzeń mobilnych)
Zaszyfrowane pamięci masowe
Bazy danych
Karty inteligentne i bezpieczne elementy zawarte w różnego rodzaju produktach, np. w paszportach, z których codziennie korzystają wszyscy obywatele.

Więcej informacji na temat EUCC można znaleźć na stronie internetowej ENISA poświęconej certyfikacji.

kroczący program prac Unii w zakresie europejskiej certyfikacji cyberbezpieczeństwa (URWP)

Unijny kroczący program prac dotyczący europejskiej certyfikacji cyberbezpieczeństwa został opublikowany w tym samym czasie co pierwszy ogólnounijny system certyfikacji cyberbezpieczeństwa. W pierwszym URWP określono strategiczne priorytety przyszłych europejskich systemów certyfikacji cyberbezpieczeństwa, z uwzględnieniem ostatnich zmian legislacyjnych i rynkowych, takich jak akt w sprawie cyberodporności i rozporządzenie w sprawie europejskiej tożsamości cyfrowej. W razie potrzeby i w stosownych przypadkach może to ostatecznie prowadzić do składania wniosków o nowe systemy. Ponadto określono w nim priorytety strategiczne, które należy wziąć pod uwagę przy przygotowywaniu wszelkich europejskich systemów certyfikacji cyberbezpieczeństwa.

W URWP podkreślono następujące obszary przyszłej europejskiej certyfikacji cyberbezpieczeństwa powiązanej z prawodawstwem UE:

Portfele identyfikacyjne
Usługi zarządzane w zakresie bezpieczeństwa
Systemy automatyki i sterowania przemysłowego
Rozwój cyklu życia bezpieczeństwa w oparciu o wymogi agencji ratingowych
Mechanizmy kryptograficzne

Europejska Grupa ds. Certyfikacji Cyberbezpieczeństwa (ECCG)

Aby pomóc w zapewnieniu spójnego wdrażania i stosowania aktu o cyberbezpieczeństwie, powołano Europejską Grupę ds. Certyfikacji Cyberbezpieczeństwa (ECCG). W jej skład wchodzą przedstawiciele krajowych organów ds. certyfikacji cyberbezpieczeństwa lub przedstawiciele innych właściwych organów krajowych. ECCG ma zasadnicze znaczenie dla przygotowania kandydującego systemu certyfikatów i ogólnego wdrożenia ram certyfikacji.

Grupa Zainteresowanych Stron ds. Certyfikacji Cyberbezpieczeństwa (SCCG)

Po wejściu w życie aktu o cyberbezpieczeństwie w 2019 r. powołano Grupę Zainteresowanych Stron ds. Certyfikacji Cyberbezpieczeństwa (SCCG).

SCCG jest odpowiedzialna za doradzanie Komisji i ENISA w kwestiach strategicznych dotyczących certyfikacji cyberbezpieczeństwa oraz wspieranie Komisji w przygotowaniu kroczącego programu prac Unii. Jest to pierwsza grupa ekspertów zainteresowanych stron ds. certyfikacji cyberbezpieczeństwa powołana przez Komisję Europejską.

Śledź prace grupy

Najnowsze wiadomości

Komunikat prasowy
28 marzec 2025

Komisja zainwestuje 1,3 mld euro w sztuczną inteligencję, cyberbezpieczeństwo i umiejętności cyfrowe

Komisja przeznaczy 1,3 mld euro na wdrażanie technologii krytycznych, które mają strategiczne znaczenie dla przyszłości Europy i suwerenności technologicznej kontynentu, w ramach przyjętego dziś programu prac „Cyfrowa Europa” (DIGITAL) na lata 2025–2027.

Image representing the EU flag next to the Republic of Korea flag

Komunikat prasowy
10 marzec 2025

UE i Korea zacieśniają więzi z przełomową umową o handlu cyfrowym

UE i Republika Korei zakończyły negocjacje w sprawie przełomowej umowy o handlu cyfrowym, podkreślając swoje zaangażowanie na rzecz silnego i niezawodnego partnerstwa, które jest w stanie sprostać dzisiejszym dynamicznym zmianom cyfrowym.

Digital illustration of a glowing padlock icon surrounded by circuit board patterns and data streams, representing cybersecurity and data protection.

Komunikat prasowy
24 luty 2025

Komisja przedstawia nowy plan działania w zakresie cyberbezpieczeństwa w celu poprawy koordynacji działań UE w sytuacjach kryzysowych w cyberprzestrzeni

Komisja przedstawiła dziś wniosek mający na celu zapewnienie skutecznego i wydajnego reagowania na cyberincydenty na dużą skalę.

Komunikat prasowy
21 luty 2025

Komisja i Wysoki Przedstawiciel przedstawiają zdecydowane działania mające na celu zwiększenie bezpieczeństwa kabli podmorskich

21 lutego w Helsinkach (Finlandia) wiceprzewodnicząca wykonawcza Henna Virkkunen przedstawiła wspólny komunikat Komisji i wysokiego przedstawiciela Unii do spraw zagranicznych i polityki bezpieczeństwa mający na celu zwiększenie bezpieczeństwa i odporności kabli podmorskich.

Przeglądaj Cyberbezpieczeństwo

Podobne tematy

W szerszej perspektywie

Polityka cyberbezpieczeństwa

Unia Europejska działa na różnych frontach, aby promować cyberodporność, chronić naszą komunikację i dane oraz zapewnić bezpieczeństwo społeczeństwa i gospodarki w internecie.