A certificação desempenha um papel crucial no aumento da confiança e da segurança em produtos e serviços importantes para o mundo digital. Atualmente, existem na UE vários sistemas de certificação de segurança para produtos de TIC. No entanto, sem um quadro comum para os certificados de cibersegurança válidos à escala da UE, existe um risco crescente de fragmentação e de obstáculos entre os Estados-Membros.
O quadro de certificação proporcionará sistemas de certificação à escala da UE como um conjunto abrangente de regras, requisitos técnicos, normas e procedimentos. O quadro basear-se-á num acordo a nível da UE sobre a avaliação das propriedades de segurança de um produto ou serviço específico baseado nas TIC. Atestará que os produtos e serviços de TIC que tenham sido certificados em conformidade com esse sistema cumprem requisitos especificados.
Em especial, cada regime europeu deve especificar:
- as categorias de produtos e serviços abrangidos;
- os requisitos de cibersegurança, tais como normas ou especificações técnicas;
- o tipo de avaliação, como a autoavaliação ou um terceiro;
- o nível de garantia pretendido.
Os níveis de garantia são utilizados para informar os utilizadores sobre o risco de cibersegurança de um produto e podem ser básicos, substanciais e/ou elevados. São proporcionais ao nível de risco associado à utilização prevista do produto, serviço ou processo, em termos de probabilidade e impacto de um acidente. Um elevado nível de garantia significaria que o produto certificado passou nos testes de segurança mais elevados.
O certificado resultante será reconhecido em todos os Estados-Membros da UE, facilitando às empresas o comércio transfronteiras e aos compradores a compreensão das características de segurança do produto ou serviço.
Sistema comum de certificação da cibersegurança baseado em critérios
O primeiro regime a ser adotado ao abrigo do quadro de certificação do Regulamento Cibersegurança baseia-se na reconhecida norma internacional Critérios Comuns, utilizado para emitir certificados na Europa há quase 30 anos. O sistema tira partido da elevada reputação dos fornecedores e certificadores europeus que utilizam a certificação baseada em critérios comuns em todo o mundo.
O sistema será aplicado numa base voluntária à escala da UE e centra-se na certificação da cibersegurança dos produtos de TIC no seu ciclo de vida: sistemas biométricos, firewalls (hardware e software), plataformas de deteção e resposta, roteadores, comutadores, software especializado (como os sistemas SIEM e IDS/IDP), díodos de dados, sistemas operativos (incluindo para dispositivos móveis), armazenamento encriptado, bases de dados, bem como cartões inteligentes e elementos seguros incluídos em todos os tipos de produtos, como nos passaportes utilizados diariamente por todos os cidadãos.
Programa de trabalho evolutivo da União para a certificação europeia da cibersegurança
O Regulamento Cibersegurança da UE prevê a publicação pela Comissão de um programa de trabalho evolutivo da União para a certificação europeia da cibersegurança, um documento que define uma visão estratégica e reflexões sobre possíveis domínios para futuros sistemas europeus de certificação da cibersegurança, tendo em conta a evolução recente da legislação e do mercado.
Tendo em conta o Regulamento Ciberresiliência ( Regulamento Ciberresiliência) e outros desenvolvimentos legislativos, como o Regulamento Identidade Digital Europeu, o primeiro URWP aponta para domínios para futuros sistemas europeus de certificação da cibersegurança relacionados com a evolução legislativa, bem como para domínios para reflexão futura em matéria de certificação da cibersegurança, que poderão eventualmente conduzir a pedidos de novos sistemas, se necessário e adequado. Além disso, define as prioridades estratégicas a ter em conta na preparação de qualquer sistema europeu de certificação da cibersegurança.
O URWP salienta como domínios para a futura certificação europeia da cibersegurança relacionada com a legislação da UE, em especial as carteiras de identificação e os serviços de segurança geridos. Outras áreas podem incluir sistemas de automação e controlo industriais e desenvolvimento do ciclo de vida da segurança com base nos requisitos da CRA, bem como mecanismos criptográficos.
Grupo Europeu para a Certificação da Cibersegurança
O Grupo Europeu para a Certificação da Cibersegurança (ECCG) foi criado para ajudar a assegurar a aplicação e aplicação coerentes do Regulamento Cibersegurança. É composto por representantes das autoridades nacionais de certificação da cibersegurança ou por representantes de outras autoridades nacionais competentes. O ECCG é fundamental para a preparação do sistema de certificados candidatos e para a aplicação geral do quadro de certificação.
Grupo de Certificação da Cibersegurança das Partes Interessadas
Na sequência da entrada em vigor do Regulamento Cibersegurança em 2019, foi criado o Grupo das Partes Interessadas para a Certificação da Cibersegurança (SCCG).
O SCCG é responsável por aconselhar a Comissão e a ENISA sobre questões estratégicas relativas à certificação da cibersegurança e prestar assistência à Comissão na preparação do programa de trabalho evolutivo da União. Este é o primeiro grupo de peritos das partes interessadas para a certificação da cibersegurança lançado pela Comissão Europeia.
Últimas notícias
Conteúdo relacionado
Visão geral
A União Europeia trabalha em várias frentes para promover a ciber-resiliência, salvaguardar a nossa comunicação e dados e manter a sociedade e a economia em linha seguras.
Em pormenor
O Grupo Europeu para a Certificação da Cibersegurança foi criado para ajudar a assegurar a aplicação e aplicação coerentes do Regulamento Cibersegurança.
Ver também
O Regulamento Cibersolidariedade da UE melhorará a preparação, a deteção e a resposta a incidentes de cibersegurança em toda a UE.
As novas regras da UE em matéria de cibersegurança garantem hardware e software mais seguros.
Os operadores de serviços essenciais (OES), as autoridades nacionais de certificação da cibersegurança (NCCA) e as autoridades nacionais competentes (ANC) no domínio da cibersegurança estão entre os candidatos selecionados que receberão 11 milhões de EUR de financiamento através...
A Rede Europeia de Cibersegurança e o Centro de Competências em Cibersegurança ajudam a UE a manter e desenvolver as capacidades tecnológicas e industriais em matéria de cibersegurança.
O Grupo das Partes Interessadas para a Certificação da Cibersegurança foi criado para prestar aconselhamento sobre questões estratégicas relativas à certificação da cibersegurança.
O Regulamento Cibersegurança reforça a Agência da UE para a Cibersegurança (ENISA) e estabelece um quadro de certificação da cibersegurança para produtos e serviços.
A Diretiva SRI2 é a legislação da UE em matéria de cibersegurança. Prevê medidas jurídicas para aumentar o nível global de cibersegurança na UE.