Quadro de certificação da cibersegurança da UE

A certificação desempenha um papel crucial no aumento da confiança e da segurança em produtos e serviços importantes para o mundo digital. Atualmente, existem vários sistemas diferentes de certificação da segurança dos produtos TIC na UE. No entanto, sem um quadro comum para certificados de cibersegurança válidos a nível da UE, existe um risco crescente de fragmentação e de obstáculos entre os Estados-Membros.

O quadro de certificação proporcionará sistemas de certificação à escala da UE como um conjunto abrangente de regras, requisitos técnicos, normas e procedimentos. O quadro basear-se-á num acordo a nível da UE sobre a avaliação das propriedades de segurança de um produto ou serviço específico baseado nas TIC. A certificação atestará que os produtos e serviços de TIC que tenham sido certificados em conformidade com esse sistema cumprem os requisitos especificados.

Em especial, cada sistema europeu deve especificar:

• As categorias de produtos e serviços abrangidos;
• Os requisitos de cibersegurança, tais como normas ou especificações técnicas;
• O tipo de avaliação, como a autoavaliação ou a participação de terceiros;
• o nível de garantia pretendido.

Os níveis de garantia são utilizados para informar os utilizadores do risco de cibersegurança de um produto e podem ser básicos, substanciais e/ou elevados. São proporcionais ao nível de risco associado à utilização prevista do produto, serviço ou processo, em termos de probabilidade e impacto de um acidente. Um nível de garantia elevado significaria que o produto certificado passaria nos mais elevados testes de segurança.

O certificado resultante será reconhecido em todos os Estados-Membros da UE, facilitando às empresas o comércio transfronteiras e aos compradores a compreensão dos elementos de segurança do produto ou serviço.

Para mais informações sobre o trabalho realizado em matéria de cibercertificação da UE, consulte a certificação da cibersegurança da ENISA.

Sistema de Certificação da Cibersegurança da UE sobre Critérios Comuns (CCUE)

O primeiro sistema a ser adotado ao abrigo do quadro de certificação do Regulamento Cibersegurança baseia-se na reconhecida norma internacional Critérios Comuns, utilizada para a emissão de certificados na Europa há quase 30 anos. O sistema tira partido da elevada reputação dos fornecedores e certificadores europeus que utilizam a certificação baseada em critérios comuns em todo o mundo. O regime começará a estar disponível para os vendedores a partir de 27 de fevereiro de 2025.

O sistema será aplicável numa base voluntária em toda a UE e centra-se na certificação da cibersegurança dos produtos de TIC no seu ciclo de vida: sistemas biométricos, barreiras de proteção (hardware e software), plataformas de deteção e resposta, encaminhadores, comutadores, software especializado (como os sistemas SIEM e IDS/IDP), díodos de dados, sistemas operativos (incluindo para dispositivos móveis), armazenamentos encriptados, bases de dados, bem como cartões inteligentes e elementos seguros incluídos em todos os tipos de produtos, como nos passaportes utilizados diariamente por todos os cidadãos. 

Para mais informações sobre o EUCC, consulte o sítio Web da ENISA dedicado à certificação.

Programa de trabalho evolutivo da União para a certificação europeia da cibersegurança

O Regulamento Cibersegurança da UE prevê a publicação pela Comissão de um programa de trabalho evolutivo da União para a certificação europeia da cibersegurança, um documento que define uma visão estratégica e reflexões sobre possíveis domínios para futuros sistemas europeus de certificação da cibersegurança, tendo em conta a recente evolução legislativa e do mercado. 

Tendo em conta o Regulamento Ciber-Resiliência (Regulamento Ciber-Resiliência) e outros desenvolvimentos legislativos, como o Regulamento Identidade Digital Europeia, o primeiro PTUR aponta para domínios para futuros sistemas europeus de certificação da cibersegurança relacionados com desenvolvimentos legislativos, bem como domínios para reflexão futura em matéria de certificação da cibersegurança, que poderão eventualmente conduzir a pedidos de novos sistemas, se necessário e adequado. Além disso, define as prioridades estratégicas a ter em conta na preparação de qualquer sistema europeu de certificação da cibersegurança. 

O PTUR salienta que os domínios para a futura certificação europeia da cibersegurança estão relacionados com a legislação da UE, em especial as carteiras de identidade e os serviços de segurança geridos.  Outros domínios poderão incluir os sistemas de automatização e controlo industriais e o desenvolvimento do ciclo de vida da segurança com base nos requisitos das agências de notação de risco, bem como os mecanismos criptográficos.  

Grupo Europeu para a Certificação da Cibersegurança 

O Grupo Europeu para a Certificação da Cibersegurança (ECCG) foi criado para ajudar a assegurar a execução e aplicação coerentes do Regulamento Cibersegurança. É composto por representantes das autoridades nacionais de certificação da cibersegurança ou por representantes de outras autoridades nacionais competentes. O GCEC é fundamental para a preparação do sistema de certificação candidato e para a aplicação geral do quadro de certificação.

Grupo das partes interessadas para a certificação da cibersegurança

Na sequência da entrada em vigor do Regulamento Cibersegurança em 2019, foi criado o Grupo das Partes Interessadas para a Certificação da Cibersegurança (SCCG). 

O SCCG é responsável por aconselhar a Comissão e a ENISA sobre questões estratégicas relativas à certificação da cibersegurança e por assistir a Comissão na preparação do programa de trabalho evolutivo da União. Este é o primeiro grupo de peritos das partes interessadas para a certificação da cibersegurança lançado pela Comissão Europeia.

Acompanhar os trabalhos do grupo