Unijne ramy certyfikacji cyberbezpieczeństwa

Unijne ramy certyfikacji cyberbezpieczeństwa umożliwiają stosowanie dostosowanych do potrzeb i opartych na analizie ryzyka unijnych systemów certyfikacji.

Certyfikacja odgrywa kluczową rolę w zwiększaniu zaufania i bezpieczeństwa do produktów i usług o krytycznym znaczeniu dla świata cyfrowego. Obecnie w UE istnieje wiele różnych systemów certyfikacji bezpieczeństwa produktów ICT. Bez wspólnych ram dla ogólnounijnych ważnych certyfikatów cyberbezpieczeństwa rośnie jednak ryzyko rozdrobnienia i barier między państwami członkowskimi.

Ramy certyfikacji

Ramy certyfikacji zapewnią ogólnounijne systemy certyfikacji jako kompleksowy zestaw zasad, wymogów technicznych, norm i procedur. Ramy te będą opierać się na porozumieniu na szczeblu UE w sprawie oceny właściwości bezpieczeństwa konkretnego produktu lub usługi opartych na ICT. Poświadczy ona, że produkty i usługi ICT, które zostały certyfikowane zgodnie z takim systemem, spełniają określone wymogi.

W szczególności każdy system europejski powinien określać:

kategorie objętych nim produktów i usług;
wymogi w zakresie cyberbezpieczeństwa, takie jak normy lub specyfikacje techniczne;
rodzaj oceny, np. samoocena lub osoba trzecia;
Zamierzony poziom pewności.

Poziomy pewności są wykorzystywane do informowania użytkowników o ryzyku w cyberprzestrzeni związanym z produktem i mogą być podstawowe, znaczące lub wysokie. Są one współmierne do poziomu ryzyka związanego z zamierzonym zastosowaniem produktu, usługi lub procesu pod względem prawdopodobieństwa i wpływu wypadku. Wysoki poziom bezpieczeństwa oznaczałby, że certyfikowany produkt przeszedł najwyższe testy bezpieczeństwa.

Uzyskany certyfikat

Uzyskany certyfikat będzie uznawany we wszystkich państwach członkowskich UE, co ułatwi przedsiębiorstwom handel transgraniczny, a nabywcom – zrozumienie zabezpieczeń produktu lub usługi.

Więcej informacji na temat prac przeprowadzonych w zakresie unijnej certyfikacji cyberbezpieczeństwa można znaleźć w certyfikacji cyberbezpieczeństwa ENISA.

Pierwszy unijny system certyfikacji cyberbezpieczeństwa w oparciu o wspólne kryteria (EUCC)

Pierwszy system, który ma zostać przyjęty na podstawie ram certyfikacji aktu o cyberbezpieczeństwie, opiera się na renomowanej międzynarodowej normie Common Criteria, stosowanej do wydawania certyfikatów w Europie od prawie 30 lat. Program wykorzystuje wysoką reputację europejskich dostawców i podmiotów certyfikujących korzystających z certyfikacji opartej na wspólnych kryteriach na całym świecie. Program zacznie być dostępny dla sprzedawców od 27 lutego 2025 r.

Program będzie miał zastosowanie w całej UE, na zasadzie dobrowolności, i skoncentruje się na certyfikacji cyberbezpieczeństwa produktów ICT w ich cyklu życia, w tym:

Systemy biometryczne
Zapory sieciowe (zarówno sprzętowe, jak i programowe)
Platformy wykrywania i reagowania
Routery
Przełączniki
Specjalistyczne oprogramowanie (takie jak systemy SIEM i IDS/IDP)
Diody danych
Systemy operacyjne (w tym dla urządzeń mobilnych)
Zaszyfrowane pamięci masowe
Bazy danych
Inteligentne karty i bezpieczne elementy zawarte we wszelkiego rodzaju produktach, takich jak paszporty codziennie używane przez wszystkich obywateli.

Więcej informacji na temat EUCC można znaleźć na stronie internetowej ENISA poświęconej certyfikacji.

Odnowione europejskie ramy certyfikacji cyberbezpieczeństwa

20 stycznia 2026 r. Komisja zaproponowała zmieniony akt o cyberbezpieczeństwie odnawiający europejskie ramy certyfikacji cyberbezpieczeństwa (ECCF). Wniosek zapewni, aby produkty i usługi docierające do konsumentów w UE były testowane pod kątem bezpieczeństwa w bardziej efektywny sposób. Nowe ECCF domyślnie zapewni większą jasność i uproszczenie procedur opracowywania programów w ciągu 12 miesięcy. Wprowadzi również sprawniejsze i bardziej przejrzyste zarządzanie w celu większego zaangażowania zainteresowanych stron poprzez informowanie społeczeństwa i konsultacje społeczne.

Systemy certyfikacji, którymi zarządza ENISA, staną się praktycznym, dobrowolnym narzędziem dla przedsiębiorstw. Umożliwią one przedsiębiorstwom wykazanie zgodności z prawodawstwem UE, zmniejszając obciążenie i koszty. Obywatelom, przedsiębiorstwom i organom publicznym UE zapewni to wysoki poziom bezpieczeństwa i zaufania do złożonych łańcuchów dostaw ICT.

Unijny kroczący program prac w zakresie europejskiej certyfikacji cyberbezpieczeństwa (URWP)

Równocześnie z pierwszym ogólnounijnym programem certyfikacji cyberbezpieczeństwa (EUCC) opublikowano unijny kroczący program prac w zakresie europejskiej certyfikacji cyberbezpieczeństwa. W pierwszym URWP określono strategiczne priorytety przyszłych europejskich programów certyfikacji cyberbezpieczeństwa, z uwzględnieniem ostatnich zmian legislacyjnych i rynkowych, takich jak akt w sprawie cyberodporności i rozporządzenie w sprawie europejskiej tożsamości cyfrowej. W razie potrzeby i w stosownych przypadkach może to ostatecznie prowadzić do wniosków o nowe programy. Ponadto określono w nim priorytety strategiczne, które należy uwzględnić przy przygotowywaniu każdego europejskiego programu certyfikacji cyberbezpieczeństwa.

W URWP podkreślono następujące obszary przyszłej europejskiej certyfikacji cyberbezpieczeństwa powiązanej z prawodawstwem UE:

Portfele identyfikacyjne
Usługi zarządzane w zakresie bezpieczeństwa
Automatyka przemysłowa i systemy sterowania
Rozwój cyklu życia bezpieczeństwa w oparciu o wymogi agencji ratingowych
Mechanizmy kryptograficzne

Europejska Grupa ds. Certyfikacji Cyberbezpieczeństwa (ECCG)

Europejska Grupa ds. Certyfikacji Cyberbezpieczeństwa (ECCG) została ustanowiona, aby pomóc w zapewnieniu spójnego wdrażania i stosowania aktu o cyberbezpieczeństwie. W jego skład wchodzą przedstawiciele krajowych organów ds. certyfikacji cyberbezpieczeństwa lub przedstawiciele innych odpowiednich organów krajowych. ECCG ma zasadnicze znaczenie dla przygotowania kandydującego systemu certyfikacji i ogólnego wdrożenia ram certyfikacji.

Grupa Zainteresowanych Stron ds. Certyfikacji Cyberbezpieczeństwa (SCCG)

Po wejściu w życie aktu o cyberbezpieczeństwie w 2019 r. powołano Grupę Zainteresowanych Stron ds. Certyfikacji Cyberbezpieczeństwa (SCCG).

SCCG odpowiada za doradzanie Komisji i ENISA w kwestiach strategicznych dotyczących certyfikacji cyberbezpieczeństwa oraz za wspieranie Komisji w przygotowaniu unijnego kroczącego programu prac. Jest to pierwsza grupa ekspertów zainteresowanych stron ds. certyfikacji cyberbezpieczeństwa uruchomiona przez Komisję Europejską.

Śledzenie prac grupy

Najnowsze wiadomości

KOMUNIKAT PRASOWY | 05 luty 2026

Komisja zwiększa bezpieczeństwo kabli podmorskich dzięki inwestycjom w wysokości 347 mln euro i nowemu zestawowi narzędzi

DIGIBYTE | 29 styczeń 2026

Cyberprzestrzeń: Unia Europejska i Japonia organizują 7. dialog dotyczący cyberprzestrzeni w Brukseli

KOMUNIKAT PRASOWY | 20 styczeń 2026

Komisja wzmacnia odporność i zdolności UE w zakresie cyberbezpieczeństwa

DIGIBYTE | 12 styczeń 2026

Commission opens call for evidence on Open-Source Digital Ecosystems

KOMUNIKAT PRASOWY | 19 listopad 2025

Prostsze przepisy cyfrowe UE i nowe portfele cyfrowe, aby zaoszczędzić miliardy dla przedsiębiorstw i pobudzić innowacje

KOMUNIKAT PRASOWY | 12 listopad 2025

Wiceprzewodniczący wykonawczy Virkkunen i Mînzatu nagradzają działania mające na celu wzmocnienie umiejętności cyfrowych Europejczyków podczas Europejskich Nagród Umiejętności Cyfrowych

Przeglądaj Cyberbezpieczeństwo

Podobne tematy

W szerszej perspektywie

Polityka UE w zakresie cyberbezpieczeństwa

Unia Europejska działa na różnych frontach, aby promować cyberodporność, chronić naszą komunikację i dane oraz zapewnić bezpieczeństwo społeczeństwa i gospodarki online.

Szczegółowe wyjaśnienia

Grupa zainteresowanych stron ds. certyfikacji cyberbezpieczeństwa
Grupa Zainteresowanych Stron ds. Certyfikacji Cyberbezpieczeństwa została powołana w celu udzielania...