Quadro de certificação da cibersegurança da UE

A certificação desempenha um papel crucial no aumento da confiança e da segurança em produtos e serviços importantes para o mundo digital. Atualmente, existem na UE vários sistemas de certificação de segurança para produtos de TIC. No entanto, sem um quadro comum para os certificados de cibersegurança válidos à escala da UE, existe um risco crescente de fragmentação e de obstáculos entre os Estados-Membros.

O quadro de certificação proporcionará sistemas de certificação à escala da UE como um conjunto abrangente de regras, requisitos técnicos, normas e procedimentos. O quadro basear-se-á num acordo a nível da UE sobre a avaliação das propriedades de segurança de um produto ou serviço específico baseado nas TIC. Atestará que os produtos e serviços de TIC que tenham sido certificados em conformidade com esse sistema cumprem requisitos especificados.

Em especial, cada regime europeu deve especificar:

• as categorias de produtos e serviços abrangidos;
• os requisitos de cibersegurança, tais como normas ou especificações técnicas;
• o tipo de avaliação, como a autoavaliação ou um terceiro;
• o nível de garantia pretendido.

Os níveis de garantia são utilizados para informar os utilizadores sobre o risco de cibersegurança de um produto e podem ser básicos, substanciais e/ou elevados. São proporcionais ao nível de risco associado à utilização prevista do produto, serviço ou processo, em termos de probabilidade e impacto de um acidente. Um elevado nível de garantia significaria que o produto certificado passou nos testes de segurança mais elevados.

O certificado resultante será reconhecido em todos os Estados-Membros da UE, facilitando às empresas o comércio transfronteiras e aos compradores a compreensão das características de segurança do produto ou serviço.

Sistema comum de certificação da cibersegurança baseado em critérios

O primeiro regime a ser adotado ao abrigo do quadro de certificação do Regulamento Cibersegurança baseia-se na reconhecida norma internacional Critérios Comuns, utilizado para emitir certificados na Europa há quase 30 anos. O sistema tira partido da elevada reputação dos fornecedores e certificadores europeus que utilizam a certificação baseada em critérios comuns em todo o mundo. 

O sistema será aplicado numa base voluntária à escala da UE e centra-se na certificação da cibersegurança dos produtos de TIC no seu ciclo de vida: sistemas biométricos, firewalls (hardware e software), plataformas de deteção e resposta, roteadores, comutadores, software especializado (como os sistemas SIEM e IDS/IDP), díodos de dados, sistemas operativos (incluindo para dispositivos móveis), armazenamento encriptado, bases de dados, bem como cartões inteligentes e elementos seguros incluídos em todos os tipos de produtos, como nos passaportes utilizados diariamente por todos os cidadãos. 

Programa de trabalho evolutivo da União para a certificação europeia da cibersegurança

O Regulamento Cibersegurança da UE prevê a publicação pela Comissão de um programa de trabalho evolutivo da União para a certificação europeia da cibersegurança, um documento que define uma visão estratégica e reflexões sobre possíveis domínios para futuros sistemas europeus de certificação da cibersegurança, tendo em conta a evolução recente da legislação e do mercado. 

Tendo em conta o Regulamento Ciberresiliência ( Regulamento Ciberresiliência) e outros desenvolvimentos legislativos, como o Regulamento Identidade Digital Europeu, o primeiro URWP aponta para domínios para futuros sistemas europeus de certificação da cibersegurança relacionados com a evolução legislativa, bem como para domínios para reflexão futura em matéria de certificação da cibersegurança, que poderão eventualmente conduzir a pedidos de novos sistemas, se necessário e adequado. Além disso, define as prioridades estratégicas a ter em conta na preparação de qualquer sistema europeu de certificação da cibersegurança. 

O URWP salienta como domínios para a futura certificação europeia da cibersegurança relacionada com a legislação da UE, em especial as carteiras de identificação e os serviços de segurança geridos.  Outras áreas podem incluir sistemas de automação e controlo industriais e desenvolvimento do ciclo de vida da segurança com base nos requisitos da CRA, bem como mecanismos criptográficos.  

Grupo Europeu para a Certificação da Cibersegurança 

O Grupo Europeu para a Certificação da Cibersegurança (ECCG) foi criado para ajudar a assegurar a aplicação e aplicação coerentes do Regulamento Cibersegurança. É composto por representantes das autoridades nacionais de certificação da cibersegurança ou por representantes de outras autoridades nacionais competentes. O ECCG é fundamental para a preparação do sistema de certificados candidatos e para a aplicação geral do quadro de certificação.

Grupo de Certificação da Cibersegurança das Partes Interessadas

Na sequência da entrada em vigor do Regulamento Cibersegurança em 2019, foi criado o Grupo das Partes Interessadas para a Certificação da Cibersegurança (SCCG). 

O SCCG é responsável por aconselhar a Comissão e a ENISA sobre questões estratégicas relativas à certificação da cibersegurança e prestar assistência à Comissão na preparação do programa de trabalho evolutivo da União. Este é o primeiro grupo de peritos das partes interessadas para a certificação da cibersegurança lançado pela Comissão Europeia.

Acompanhar os trabalhos do Grupo